El gobierno del Reino Unido ha presentado planes para impulsar la seguridad cibernética de las cadenas de suministro digitales del país con una serie de medidas que podrían incluir obligar a los proveedores de servicios de TI a adherirse al Marco de Evaluación Cibernética (CAF) del Centro Nacional de Seguridad Cibernética (NCSC).
Otras propuestas incluyen nuevas reglas de adquisiciones para garantizar que las organizaciones del sector público adquieran tecnología de empresas con posturas cibernéticas sólidas y planes para mejorar las campañas de asesoramiento y orientación en seguridad cibernética.
Las propuestas siguen a una consulta del Departamento de Cultura, Medios, Medios Digitales y Deporte (DCMS) sobre el tema de las cadenas de suministro digitales y los servicios de TI de terceros, lanzada en mayo de 2021 después de una serie de incidentes en los que las empresas de TI, especialmente SolarWinds, fueron utilizado por actores malintencionados para apuntar a clientes intermedios.
“A medida que más y más organizaciones hacen negocios en línea y utilizan una variedad de servicios de TI para potenciar sus servicios, debemos asegurarnos de que sus redes y tecnología sean seguras”, dijo Julia López, ministra de medios, datos e infraestructura digital.
“Hoy estamos dando los siguientes pasos en nuestra misión para ayudar a las empresas a fortalecer su seguridad cibernética y estamos alentando a las empresas de todo el Reino Unido a seguir los consejos y la guía del NCSC para asegurar la huella digital de sus negocios y proteger sus datos confidenciales”.
El gobierno dijo que las respuestas a la consulta habían mostrado el apoyo de todas las industrias para desarrollar legislación nueva o actualizada a este respecto, y el 82% de los encuestados cree que la legislación podría ser efectiva o algo efectiva.
Como resultado de esto, los legisladores ahora volverán a la mesa de dibujo para desarrollar propuestas más detalladas, junto con una revisión continua de las medidas de seguridad cibernética que informarán la próxima estrategia cibernética nacional, que se anunciará antes de Navidad.
El gobierno también publicó hoy una nueva investigación sobre las opiniones de los llamados “capitanes de la industria”, que encontró que aunque la mayoría de los presidentes, directores generales y directores de empresas del Reino Unido (94%, un 10% más que en 2020) creían que las amenazas a la seguridad cibernética eran un riesgo alto o muy alto para su negocio, un gran número no estaba tomando medidas para asegurar sus cadenas de suministro digitales.
Un total del 17% estuvo algo o muy en desacuerdo con la afirmación “nuestra organización gestiona activamente los riesgos cibernéticos en nuestra cadena de suministro”, y el 26% estuvo algo o totalmente en desacuerdo con que la junta se mantuviera debidamente informada sobre los riesgos de la cadena de suministro. Un total de 13% y 9%, respectivamente, no estuvo de acuerdo ni en desacuerdo con esas declaraciones.
Es preocupante que el 2% de los encuestados dijeron que no sabían si el riesgo cibernético en la cadena de suministro formaba parte de los documentos escritos que ayudan a gestionar el riesgo de seguridad cibernética.