El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha publicado hoy una nueva guía para alentar a las organizaciones a trabajar en conjunto con otros en sus cadenas de suministro para identificar y abordar problemas de seguridad, luego de un marcado aumento en los incidentes.
Los ataques cibernéticos que se originan dentro de las cadenas de suministro se han generalizado en los últimos 18 meses a dos años; posiblemente el evento más impactante sea la explotación de los servicios de SolarWinds por parte de los actores de amenazas rusos que apuntan a los clientes gubernamentales intermedios en los EE. UU.
A la luz de esto, el NCSC quiere alentar a las organizaciones medianas y grandes a evaluar de manera efectiva y ganar confianza en la seguridad de sus cadenas de suministro. Citó datos gubernamentales recientes que mostraron que un mísero 13% de las empresas revisan regularmente los riesgos presentados por sus proveedores inmediatos, y solo el 7% para la cadena de suministro más amplia.
“Los ataques a la cadena de suministro son una amenaza cibernética importante que enfrentan las organizaciones y los incidentes pueden tener un impacto profundo y duradero en las empresas y los clientes”, dijo Ian McCormack, subdirector de resiliencia cibernética del gobierno de NCSC.
“Con los incidentes en aumento, es vital que las organizaciones trabajen con sus proveedores para identificar los riesgos de la cadena de suministro y garantizar que se implementen las medidas de seguridad adecuadas. Nuestra nueva guía ayudará a las organizaciones a poner esto en práctica para que puedan evaluar la seguridad de su cadena de suministro y tener la confianza de que están trabajando con los proveedores de manera segura”.
La ministra cibernética, Julia López, agregó: “Las organizaciones del Reino Unido de todos los tamaños dependen cada vez más de una variedad de servicios de TI para administrar su negocio, por lo que es vital que estas tecnologías sean seguras.
“Insto a las empresas a seguir esta guía experta de nuestro Centro Nacional de Seguridad Cibernética líder en el mundo. Ayudará a las empresas a protegerse a sí mismas y a sus clientes de ataques cibernéticos dañinos al fortalecer la seguridad cibernética en todas sus cadenas de suministro”.
El paquete de orientación más reciente del NCSC se elaboró en conjunto con Cross Market Operational Resilience Group (CMORG), que generalmente enfoca sus energías en el mercado de servicios financieros, aunque esta guía está diseñada para organizaciones en cualquier vertical.
Fue producido en respuesta a una consulta gubernamental de 2021 que destacó la necesidad de más asesoramiento y complementa el NCSC 2020 Principios de la cadena de suministroal que también hace referencia.
En términos generales, la nueva guía divide las mejores prácticas de seguridad de la cadena de suministro en cinco áreas de acción:
- Antes de comenzar, tómese el tiempo para comprender por qué debería preocuparse por la seguridad de la cadena de suministro, quién es responsable de ella en la organización y cómo su organización evalúa el riesgo.
- Luego desarrolle un enfoque para evaluar la seguridad de la cadena de suministro, priorizando los activos críticos y cree componentes clave para este enfoque, como los requisitos específicos que impondrá a los proveedores, las cláusulas del contrato, etc.
- Luego, este enfoque debe aplicarse a las relaciones con los nuevos proveedores, con controles integrados en el ciclo de vida del contrato, y el desempeño y el progreso monitoreados e informados.
- Luego, el enfoque se puede integrar en los contratos de proveedores existentes y, nuevamente, se puede monitorear e informar sobre el desempeño y el progreso.
- Finalmente, los equipos de seguridad deben adoptar un enfoque de mejora continua, evaluando y evolucionando el enfoque a medida que cambia su situación o el panorama de amenazas, siempre en colaboración con los proveedores.