Los profesionales de la seguridad reconocen que el eslabón más débil es el que tiene más probabilidades de verse comprometido por un hacker. Pero el modelo de seguridad de una organización no debe desmoronarse solo porque una parte del negocio, o un socio comercial, tenga una seguridad débil.
Tim Holman, CEO de 2-sec, dice que el término “seguro como el eslabón más débil” implica que todas las partes del negocio y todo lo que une a cada parte están en igualdad de condiciones y nivel de confianza con todo lo demás. Pero esta idea de asegurar el eslabón más débil no está funcionando.
Una encuesta realizada por el gobierno del Reino Unido informó recientemente que la falta de visibilidad en las cadenas de suministro es una de las mayores barreras para la gestión eficaz del riesgo cibernético de los proveedores.
Mientras tanto, un estudio de ISACA encontró que muchos profesionales de la seguridad cibernética están preocupados por la seguridad de la cadena de suministro de su organización. Dos tercios (66%) de los encuestados están preocupados por las malas prácticas de seguridad de la información por parte de los proveedores.
Si bien los negocios impulsan mayores niveles de desarrollo técnico, la seguridad a veces puede ser una idea de último momento, advierte Mike Gillespie, vicepresidente del Centro C3i para la ciencia estratégica del ciberespacio y la seguridad (CSCSS).
“La experiencia me ha enseñado que cuando las organizaciones recurren a la tecnología para resolver una variedad de problemas, como deberían hacerlo, no canalizan suficientes recursos para protegerse de consecuencias no deseadas, o de los usuarios mal informados de esta tecnología, en muchos casos. los casos ni siquiera capacitan a los usuarios en el uso básico de la misma, y mucho menos en el uso seguro de la misma”, dice.
En las últimas semanas, GitHub reveló que los detalles de inicio de sesión de unas 100 000 cuentas de un servicio de desarrollador externo llamado npm fueron robados utilizando tokens de usuario OAuth comprometidos que se originaron en dos integradores independientes.
Al analizar la seguridad de los vínculos entre una empresa y sus socios comerciales, la voluntaria de BCS, Petra Wenham, dice: “Debemos incluir la TI de la empresa en esa declaración y la seguridad del sistema de TI de un socio”.
Junade Ali, un tecnólogo interesado en la gestión de ingeniería de software y la seguridad informática, señala la vulnerabilidad de OAuth como un ejemplo de los riesgos que enfrentan las organizaciones en sus cadenas de suministro cuando se conectan o utilizan sistemas de terceros.
“En el pasado reciente, trabajé para cambiar las prácticas en la industria en lo que respecta a la seguridad de las contraseñas”, dice. “Desarrollé los modelos de anonimato utilizados por Have I Been Pwned, las herramientas de desarrollador necesarias para mejorar las prácticas de seguridad de las contraseñas y publiqué estudios científicos utilizados para cambiar la comprensión de la industria sobre las mejores prácticas”.
Lo que Ali aprendió fue que la reutilización de credenciales comprometidas de un sitio web de bajo valor (por ejemplo, una pizzería) a menudo cae en cascada y compromete la banca en línea de alguien. Agrega: “El mensaje aquí es claro: la seguridad no está únicamente dentro de nuestro feudo y dependemos de otros para mantener nuestros datos seguros”.
Colaboración y automatización
Sin embargo, como señala Martin Tyley, jefe de cibernética de KPMG Reino Unido, los presupuestos rara vez cubren el riesgo de la cadena de suministro. Él dice que los líderes empresariales y de TI deben aceptar que sus organizaciones operarán con cierto nivel de riesgo, y esto es muy difícil de equilibrar. “Los minoristas y los servicios públicos tienen un nivel aceptable de pérdida”, dice. “¿Cuál es su tolerancia para perder un registro de cliente?”
“Ser honesto con los proveedores sobre las necesidades y expectativas de seguridad durante las etapas iniciales de adquisición y alentarlos a hacer lo mismo ayudará a construir relaciones más sólidas y fortalecer la seguridad”
Francesca Williamson, Foro de Seguridad de la Información
Tyley dice que las organizaciones deben combinar fuerzas en su cadena de suministro con interés colectivo para comprender mejor lo que cada socio puede hacer para mejorar la resiliencia de la cadena de suministro. Esto, dice, implica que todas las organizaciones en la cadena de suministro estén en una posición en la que estén preparadas para compartir riesgos con otros socios en la cadena de suministro, lo que les permite a esos socios comerciales compensar las debilidades potenciales de una manera que fortalece la seguridad en toda la cadena de suministro. para todo el mundo.
“Ser honesto con los proveedores sobre las necesidades y expectativas de seguridad durante las etapas iniciales de adquisición y alentarlos a hacer lo mismo ayudará a construir relaciones más sólidas y fortalecer la seguridad”, dice Francesca Williamson, analista de Information Security Forum.
Ella insta a los jefes de seguridad de TI y a los responsables de la seguridad de la cadena de suministro a establecer una línea de base de seguridad que incorpore los requisitos de seguridad en el contrato. Esto, dice, ayudará a establecer un precedente para la totalidad del ciclo de vida de la cadena de suministro.
Evaluación del riesgo en la cadena de suministro
Brian Fletcher, asesor de prácticas de evaluación cibernética de ISACA, recomienda que las organizaciones practiquen su respuesta a un incidente en la cadena de suministro. “Estos ejercicios iniciales pueden ayudar a identificar preocupaciones y problemas, especialmente con roles, responsabilidades y la cadena de autoridad de gestión de incidentes”, dice.
Después de completar varios de estos ejercicios, Fletcher dice que las organizaciones deben realizar recorridos planificados y no planificados de los manuales de incidentes compartidos. “Los tutoriales ayudan a identificar problemas potenciales antes de un incidente real”, agrega.
Dichos problemas incluyen la identificación de los contactos de respaldo si los contactos principales no están disponibles o en qué circunstancias la organización y sus proveedores deben cambiar a medios de comunicación alternativos.
Los proveedores de escenarios de incidentes producen y facilitan incidentes de capacitación que, según Fletcher, permiten a las organizaciones aumentar el realismo de sus ejercicios de respuesta a incidentes en la cadena de suministro. “En estas situaciones, las reglas de compromiso claramente definidas y aprobadas hacen que la capacitación sea lo más auténtica posible sin afectar las operaciones”, dice. “El resultado clave es una lista de lecciones aprendidas para mejorar la resiliencia de su cadena de suministro”.
Al observar los niveles de controles de seguridad que tiene una organización en toda su cadena de suministro, Wenham dice que las empresas deben evaluar tanto el control directo como el control indirecto que tienen.
“El control directo sería donde los activos de la empresa están controlados por las políticas, los procedimientos, los estándares y las guías de trabajo de la empresa”, dice. Por ejemplo, esto puede cubrir al personal de mantenimiento que son empleados o contratistas que están legalmente obligados a seguir las políticas de la empresa.
El control indirecto es cuando un tercero proporciona servicios bajo un contrato legal, dice Wenham. “Ese contrato tendría cláusulas relacionadas con la seguridad y anexos que detallarían los requisitos de seguridad”, dice ella. “No es bueno simplemente decir que el tercero debe cumplir con la norma ISO 2701. La declaración de aplicabilidad y las cláusulas pertinentes deben identificarse junto con cualquier ampliación necesaria.”
Wenham agrega que puede haber políticas específicas de la empresa cubiertas por el contrato, junto con mecanismos para garantizar que la seguridad se mantenga regularmente, como auditorías independientes o una copia de un certificado de renovación de estándares.
La automatización es clave para asegurar las cadenas de suministro, ya que se vuelven cada vez más complejas. Williamson, de Information Security Forum, dice que se requiere un monitoreo continuo para lograr el perfil más preciso y confiable de la postura de seguridad de un proveedor, y esto solo se puede lograr de manera realista cuando se incorpora la automatización. Hay varios métodos disponibles para el monitoreo continuo, que incluyen, entre otros, calificaciones de seguridad, autoevaluaciones de proveedores y certificaciones de seguridad, dice Williamson.
“El mayor valor del monitoreo continuo se extrae de los productos producidos”, agrega. “La mayoría de las herramientas de evaluación presentarán los hallazgos en un tablero que brinda una representación visual de la seguridad de los proveedores, lo que ayuda a aumentar la visibilidad del estado de la cadena de suministro al proporcionar los resultados en un formato fácil de comprender”.
Williamson recomienda que los líderes empresariales y los jefes de seguridad incorporen herramientas de evaluación de proveedores en el proceso de gestión de la cadena de suministro, y señala que estas herramientas ayudan a lograr mayores niveles de visibilidad. “La tecnología puede almacenar, procesar y analizar una gran cantidad de datos a un ritmo mucho más rápido”, dice.
Williamson agrega que el uso de esta tecnología durante la etapa de evaluación del proceso tiene el potencial de identificar tendencias o anomalías que anteriormente pueden haber pasado desapercibidas. “Aumentar el nivel de visibilidad permite a las organizaciones estar mejor preparadas y listas para responder a las amenazas de la cadena de suministro”, dice.
Para Holman de 2-sec, las empresas probablemente deberían operar bajo el supuesto de que ya se han visto comprometidas. Como han descubierto estudios recientes, es muy probable que muchas organizaciones se hayan visto comprometidas por un incidente en la cadena de suministro. “Debe hacer todo lo posible para proteger lo que es crítico para su negocio, en la fuente”, dice.
