Los servicios de seguridad que auditan la cadena de suministro del cliente tienen muchas posibilidades de éxito. Las evaluaciones de ciberseguridad forman parte cada vez más de las auditorías a proveedores. Ya hay soluciones para el canal.
Es el peor escenario para todo tipo de empresas: Las empresas son las menos preparadas para los ataques a la cadena de suministro, con sus elevados costes de mitigación, según la agencia de ciberseguridad de la UE, ENISA. Dado que no existe una buena solución para defenderse de un ataque a la cadena de suministro, el impacto puede ser masivo, añade ENISA. Obviamente, los ataques a la cadena de suministro deben prevenirse con antelación, mediante el escaneo de la vulnerabilidad de los proveedores y de los proveedores anteriores. Hasta ahora, sin embargo, muchas empresas no lo han hecho.
Los ataques a la cadena de suministro van en aumento
Por ejemplo, el estudio de Sophos "El rompecabezas imposible de la ciberseguridad" descubrió que el 75% de los responsables de TI encuestados consideraban que los exploits, las vulnerabilidades sin parchear o las amenazas de día cero eran el mayor riesgo de seguridad. Sólo el 16% de los responsables de TI tienen en cuenta los ataques a la cadena de suministro como un riesgo para la seguridad informática. Los ataques a la cadena de suministro son una forma eficaz de que los ciberdelincuentes lleven a cabo ataques automatizados en los que seleccionan una empresa de entre un grupo más amplio de víctimas potenciales y, a continuación, piratean activamente esa organización específica utilizando técnicas de mano a mano para llegar a su objetivo sin ser detectados", dijo Chester Wisniewski, científico principal de investigación de Sophos.
Auditoría de la cadena de suministro también en materia de seguridad
Las empresas que fabrican o configuran productos informáticos para su uso en zonas sensibles deben adoptar medidas eficaces en materia de seguridad de la cadena de suministro, afirma la BSI (Oficina Federal de Seguridad de la Información de Alemania). Esto incluye la documentación completa de los procesos de fabricación y configuración de los componentes individuales, como se requiere para la certificación de las pasarelas de contadores inteligentes por parte de la BSI. Las certificaciones pueden ser importantes anclas de confianza para la seguridad de los productos informáticos y también de las cadenas de suministro y, por tanto, aumentar el nivel general de seguridad informática en Alemania, según la BSI.
Existe una cadena de suministro insegura, por ejemplo, cuando llegan al fabricante componentes con un firmware ya comprometido, que luego los instala sin probar. Ha habido suficientes ejemplos de esto en el pasado reciente, incluidos los smartphones con malware preinstalado sobre los que alertó la BSI.
Los riesgos asociados a la globalización requieren que los proveedores adopten un enfoque sistemático y detallado de los procesos de la cadena de suministro, explica también la agencia comunitaria ENISA. El riesgo de que un atacante introduzca una vulnerabilidad en la cadena de suministro no es nuevo, y mitigarlo ha resultado extremadamente difícil. La definición minuciosa de los requisitos de seguridad y el cumplimiento de las mejores prácticas de seguridad por diseño deberían ser fundamentales para mitigar estos riesgos.
A medida que aumentan los ataques a la cadena de suministro, también lo hace la presión sobre los gestores de seguridad, explican los investigadores de mercado de Gartner. Las empresas deben prepararse para integrar la seguridad y la gestión de riesgos en los sistemas de suministro, demanda y producción, según el estudio de Gartner, Get Ahead of the Expanding Risk Frontier: Supply Chain Security. Sin embargo, muchas empresas no pueden gestionar por sí mismas las evaluaciones de ciberseguridad de los proveedores y, por tanto, necesitan un proveedor de servicios. Aquí es exactamente donde el canal puede proporcionar apoyo y servicios cuando se trata de auditorías de proveedores para la ciberseguridad.
Se dispone de soluciones de seguridad para la cadena de suministro
Los servicios de seguridad para la cadena de suministro pueden incluir todos los servicios que se ofrecen a una empresa por sí misma, excepto que se prestan en otro lugar, a los proveedores y socios del cliente, en coordinación con el cliente y sus proveedores a auditar. Por ejemplo, son tan concebibles las pruebas de penetración coordinadas en los proveedores como un análisis de vulnerabilidad para el componente de software recién creado que el proveedor entrega al proveedor de servicios antes que al cliente. Algunos ejemplos de seguridad de la cadena de suministro como servicio:
- Escaneo de firmware: Para el Internet de las Cosas (IoT), los proveedores de servicios podrían ofrecer una comprobación del firmware de los dispositivos que luego son instalados o implementados por el cliente. Por ejemplo, el inspector de IoT ofrece un escáner de vulnerabilidad de IoT correspondiente.
Pruebas de seguridad de aplicaciones: La solución de seguridad de la cadena de suministro de ZeroNorth ofrece múltiples herramientas de escaneo de aplicaciones integradas en una plataforma unificada. La solución ayuda a aumentar la seguridad de la cadena de suministro mediante la comprobación de las aplicaciones en cada etapa del ciclo de vida de desarrollo del software (SDLC).Certificados y firmas:Integrity Security Services ayuda a desplegar infraestructuras de seguridad en toda la empresa para generar y gestionar todas las claves, certificados y operaciones de firma dentro de la cadena de suministro de un producto y en las redes de socios. Un portal de usuario proporciona una interfaz sencilla para firmar el software y los datos, de modo que todas las claves del producto puedan estar protegidas.Supervisión de la seguridad: La supervisión de las amenazas digitales de FireEye puede aplicarse no sólo a la propia empresa, sino también a sus proveedores y socios. Este servicio puede combinarse con otros datos sobre amenazas que muestren posibles problemas con los componentes suministrados para desarrollar un panorama de amenazas y riesgos asociados a la cadena de suministro. Un servicio de este tipo también proporciona la base para una puntuación de reputación y riesgo actualizable periódicamente que puede utilizarse para identificar problemas potenciales o emergentes.
Adición al tema
Consejos de la agencia de ciberseguridad de la UE ENISA para una cadena de suministro segura
- Mantenga una base de proveedores pequeña para tener un control más estricto sobre sus proveedores.
Proporcionar seguridad integrada en el diseño para detectar cualquier acceso previo no autorizado al entorno de producción.
- Proporcionar controles estrictos a los proveedores.
Realizar auditorías ocasionales de los proveedores y hacer que el personal visite las instalaciones con regularidad para garantizar un mejor control.
- Asegurar el estricto cumplimiento de los requisitos de información prescritos en el marco normativo de la UE.
Provea una estrecha colaboración con las autoridades investigadoras en caso de un incidente con implicaciones penales.
Definir las responsabilidades en los contratos
En la gestión de la calidad, la selección y el control de los proveedores y subcontratistas es una práctica habitual. Sin embargo, la ciberseguridad aún no se reconoce sistemáticamente como parte de la calidad de los productos. Por lo tanto, es necesario explicar a algunos proveedores las auditorías de proveedores en forma de evaluaciones de ciberseguridad. Sin embargo, algunas industrias llevan mucho tiempo previendo controles en sus proveedores. Un ejemplo es TISAX (Trusted Information Security Assessment Exchange) en la industria del automóvil.
El cliente debe determinar si se requieren determinadas soluciones de seguridad, procedimientos o certificados. Como proveedor de servicios, comprueba el cumplimiento de los requisitos de seguridad fijados por contrato. El contrato con el proveedor también debe estipular que el proveedor de servicios puede realizar determinados controles en nombre del cliente. Ni que decir tiene que deben respetarse las disposiciones sobre protección de datos y confidencialidad.
Los proveedores de servicios de seguridad deben declarar precisamente a sus clientes que comprobarán la seguridad de los proveedores, pero no que los sustituirán y garantizarán. Por supuesto, puede ocurrir que el proveedor auditado también quiera servicios de seguridad del proveedor de servicios para cerrar las brechas identificadas. Sin embargo, estas ofertas deben estar siempre estrictamente separadas de la evaluación de la ciberseguridad, porque la seguridad necesita confianza e independencia.