Todo el mundo habla de la garantía de la cadena de suministro como si fuera nueva. Esto se debe básicamente a casos recientes de alto perfil como SolarWinds y Log4j. no es nuevo
Pero, y esto es en parte evidente en la forma en que se formula la pregunta, el enfoque sigue estando en la TI y la seguridad cibernética en la cadena de suministro, no en la seguridad. La seguridad tiene muchos pilares e incluye lugares y personas, no solo tecnología.
Al olvidar el impacto de estas otras áreas, estamos ignorando su potencial para dañarnos. También sabemos que la gran mayoría de los incidentes de seguridad son facilitados por el comportamiento humano, incluida la forma en que se gestiona la tecnología.
Por ejemplo, considere a los administradores de TI a quienes no se les ha dado suficiente tiempo para desconectar los sistemas o plataformas para parchearlos. Hemos sido instruidos durante años sobre la importancia de parchear, pero ¿nuestro conocimiento va lo suficientemente lejos como para garantizar que sea posible? Esta es la forma en que se explotan las vulnerabilidades conocidas y, si bien podemos quedar hipnotizados por las vulnerabilidades de día cero, la verdad deprimente es que muchas vulnerabilidades han existido durante años, pero aún tienen éxito.
La solución de TI para el problema de los parches, en mi ejemplo, existe. Lo que falta es la perspectiva humana, que permite al administrador de TI aplicar esta solución. Esto solo cambiará cuando las organizaciones comprendan que las personas deben ser parte del presupuesto de seguridad. No puede esperar un tiempo de actividad del 100 % y seguridad, incluso en sistemas críticos. Esto es equivalente a negarse a arreglar las salidas de emergencia porque el corredor está muy transitado.
¿Esperamos socios de la cadena de suministro y sus la gente sea mejor en seguridad que nosotros? Pero si no estamos preparados para invertir en estos problemas humanos, ¿por qué esperamos que nuestros socios de la cadena de suministro estén dispuestos a hacerlo?
Un enfoque unilateral no funciona. El multilateral es el camino porque en realidad no es una cadena de suministro, es un ecosistema, con conexiones en muchas direcciones y vínculos directos que no podemos pretender conocer. Ese ecosistema es tan fuerte como su eslabón más débil, pero tal vez no estemos siendo honestos de que el eslabón más débil potencialmente podríamos ser nosotros mismos.
Las altas expectativas están bien, pero debemos asegurarnos de que esto se les comunique de manera efectiva. Los documentos legales complejos no son adecuados para este propósito. Es posible que los encargados del tratamiento de datos nunca los vean o entiendan y, por lo tanto, es posible que los socios proveedores y terceros nunca entiendan lo que se espera de ellos.
Esto explica que a los proveedores se les dé demasiado acceso a la red sin restricciones o que no estén preparados para el acceso que se les da.
Muchas organizaciones ni siquiera tienen una lista de con quién comparten información y aún menos saben qué acuerdos de intercambio posteriores están sucediendo con otros terceros. Nuevamente, estas son fallas culturales humanas. Podemos seguir comprando aceite de serpiente, pero hasta que abordemos los problemas de las personas, seguiremos teniendo fallas en la seguridad de la cadena de suministro.
