Cuando pensamos en las cadenas de suministro, generalmente pensamos en ellas en relación con la fabricación, por ejemplo, un automóvil generalmente tendrá una radio suministrada por un fabricante, un sistema de aire acondicionado de otro proveedor (o dos), tuercas, pernos y tornillos de otros proveedores, etc. Lo mismo ocurre con la mayoría de las empresas que operan hoy en día con respecto a su TI.
Al observar la seguridad de los vínculos entre una empresa y sus socios comerciales, no hace falta decir que la seguridad es tan buena como el vínculo más débil del socio comercial. Pero al decir eso, debemos incluir la TI de la empresa en esa declaración y la seguridad del sistema de TI de un socio.
Según mi experiencia, las buenas prácticas en el manejo de la seguridad de la cadena de suministro de TI se pueden dividir en los siguientes pasos, pero recuerde que estos pasos son de un nivel relativamente alto y que el problema está en los detalles. También tenga en cuenta que la lista no es exhaustiva porque cada escenario de TI es diferente.
- Un equipo de seguridad de TI necesita una comprensión sólida del negocio de una empresa, incluidos todos los socios, subsidiarias y otros servicios externos que se utilizan, ya sean públicos o privados.
- De esto surgirá una comprensión de los activos en riesgo y el valor en riesgo asociado (reputación, financiero, capacidad para negociar, etc.).
- Asimismo, el equipo de seguridad de TI necesita una comprensión sólida de la TI de la empresa, incluidos sus proveedores.
- Mantenimiento interno, interno/de terceros, subcontratación parcial: ¿los proveedores subcontratan, a su vez, subcontratan parte de “su” TI, trabajo remoto, etc.?
- El equipo de seguridad necesita una comprensión buena y actualizada del panorama de amenazas y vulnerabilidades.
- El equipo de seguridad debe poder mapear las partes clave de la cadena de suministro. Advertencia: demasiados detalles y no verás el bosque para los árboles, pero por el contrario, toma una vista de nivel demasiado alto y comenzarás a perderte algunos puntos clave.
- Una vez que se han mapeado las partes clave de la cadena, el equipo debe identificar para cada parte si su seguridad está bajo el control directo de la empresa, si la empresa tiene control indirecto o si la empresa no tiene control.
- La clave aquí es identificar los límites entre cada parte de la cadena de suministro y quién tiene la gestión técnica de seguridad para cada parte y sus interfaces.
- Como parte de este ejercicio de mapeo, el equipo debe considerar qué controles de seguridad de buenas prácticas actuales de la industria esperarían encontrar, tanto para la parte de la cadena de suministro en consideración como para sus interfaces con otras partes de la cadena de suministro.
- Para cada parte de la cadena, el siguiente paso es revisar qué controles de seguridad existen realmente, incluidas sus interfaces, y compararlos con los controles de buenas prácticas identificados.
- Estas revisiones, junto con el conocimiento de los activos de la empresa que podrían verse expuestos por una brecha de seguridad y el valor en riesgo si falla un control, conducirán a un perfil de riesgo y un plan de remediación para mejorar la seguridad.
Lo que no he cubierto explícitamente aquí son los aspectos físicos de la seguridad, por ejemplo, si las oficinas de una empresa están en un edificio compartido o de varios inquilinos, entonces las salas de cableado, los armarios y las columnas son importantes, ¿la vigilancia se subcontrata? ¿Un servicio de vigilancia subcontratado crea tarjetas de entrada y quién emplea a los limpiadores? Esa no es una lista exhaustiva, pero todos estos son igualmente parte de la cadena de suministro de seguridad.
Algunas reflexiones para cerrar:
Control directo: Aquí sería donde los activos de la empresa están controlados por las políticas, procedimientos, estándares y guías de trabajo de la empresa. El personal de mantenimiento puede ser empleados o contratistas legalmente obligados a seguir las políticas de la empresa, etc.
control indirecto: Aquí es donde un tercero proporciona servicios bajo un contrato legal. Ese contrato tendría cláusulas relativas a la seguridad y anexos que detallaran los requisitos de seguridad. La seguridad necesita ser detallada; no es bueno simplemente decir que el tercero debe cumplir con ISO27001, la declaración de aplicabilidad y las cláusulas relevantes deben identificarse, junto con cualquier expansión necesaria. Otros estándares, incluidos los específicos de la empresa, deben estar cubiertos por el contrato, junto con mecanismos para garantizar que la seguridad se mantenga regularmente: opinión de un auditor independiente, copia de un certificado de renovación de estándares, por ejemplo.
Sin control: Las interconexiones entre la empresa y sus socios (y subsidiarias y trabajadores remotos) a través de redes públicas o de terceros como Internet. Aquí tendríamos que buscar la seguridad de la interfaz de la parte de la cadena de suministro, por ejemplo para agregar una capa de seguridad, como el cifrado.
Mi artículo anterior de Think Tank, Security Think Tank: para seguir un camino, necesita un buen mapa, podría agregar un poco más con respecto al análisis de riesgos.
