COMENTARIO
En el panorama digital interconectado actual, los ataques a la cadena de suministro ya no son una anomalía: son una amenaza persistente y creciente. De vientos solares tiene kaseyaLas infracciones de alto perfil han demostrado que los atacantes están explotando cada vez más vulnerabilidades en la cadena de suministro para infiltrarse en objetivos a gran escala. Para los profesionales de la ciberseguridad, los días de depender de la gestión de riesgos de los proveedores tradicionales han terminado. Se necesita un enfoque más amplio y proactivo para asegurar la cadena de suministro, uno que vaya más allá de listas de verificación y cuestionarios.
Las deficiencias de la gestión tradicional de riesgos de los proveedores
Históricamente, las organizaciones han dependido de evaluaciones de riesgos y procesos de debida diligencia para evaluar a sus proveedores. Esto implica examinar a los proveedores mediante cuestionarios, auditorías de cumplimiento y, a veces, incluso evaluaciones in situ. Si bien estos métodos ayudan a garantizar el cumplimiento de las regulaciones de la industria y la higiene básica de la ciberseguridad, ya no son suficientes para combatir los sofisticados ataques a la cadena de suministro actuales.
El gran defecto del proveedor tradicional gestión de riesgos es que supone que la seguridad es una evaluación única y no un proceso continuo. Un proveedor puede pasar una auditoría inicial, pero ¿qué sucede cuando actualiza su software o contrata a un contratista externo? Además, las evaluaciones estáticas rara vez tienen en cuenta las vulnerabilidades de día cero o el panorama de amenazas que cambia rápidamente. En resumen, una vez completada la evaluación, la información suele quedar desactualizada.
Monitoreo proactivo de la cadena de suministro: un nuevo paradigma
Un enfoque más eficaz para la seguridad de la cadena de suministro implica un seguimiento continuo y en tiempo real de los proveedores. En lugar de esperar al próximo ciclo de auditoría o cuestionario, las organizaciones deberían aprovechar herramientas que brinden visibilidad actualizada de la postura de ciberseguridad de sus proveedores.
Hay varias maneras de lograr esto:
-
Plataformas de gestión de riesgos de terceros: Plataformas como BitSight y Security Scorecard permiten a las organizaciones monitorear continuamente la postura de seguridad externa de sus proveedores. Estas plataformas agregan datos de fuentes públicas, incluidas vulnerabilidades abiertas, configuraciones SSL e incluso menciones de posibles infracciones, para brindar a los equipos de seguridad información en tiempo real sobre los riesgos potenciales.
-
Integración de inteligencia de amenazas: Al integrar fuentes de inteligencia de amenazas en el proceso de gestión de riesgos de los proveedores, las organizaciones pueden identificar si los proveedores son atacados activamente por atacantes o si su infraestructura está comprometida. Este enfoque dinámico va más allá de los cuestionarios estáticos y permite a las organizaciones actuar rápidamente en respuesta a las amenazas emergentes.
-
Pruebas de penetración continua: Las pruebas de penetración de rutina ya no son un lujo; es una necesidad. Las pruebas periódicas de los sistemas de los proveedores garantizan que las vulnerabilidades se identifiquen y mitiguen antes de que los atacantes puedan explotarlas. Con la creciente automatización de las herramientas de pruebas de penetración, este proceso puede volverse continuo en lugar de esporádico.
Blockchain para una mejor transparencia de la cadena de suministro
Otra solución innovadora a los desafíos de seguridad de la cadena de suministro es el uso de blockchain para lograr transparencia y trazabilidad. La tecnología Blockchain permite crear pistas de auditoría inmutables, lo que permite rastrear el origen de cada componente de la cadena de suministro. Esto puede resultar especialmente útil en sectores como el farmacéutico o el de infraestructuras críticas, donde los productos falsificados o los componentes comprometidos pueden tener consecuencias catastróficas.
Al utilizar blockchain, las organizaciones pueden verificar que cada eslabón de la cadena de suministro cumpla con los estándares de seguridad y no haya sido manipulado. Además, los contratos inteligentes en la cadena de bloques pueden garantizar el cumplimiento, activando alertas o incluso acciones (como revocar el acceso) cuando se producen desviaciones de los estándares acordados.
Gestión de accesos: un enfoque dinámico para las autorizaciones de proveedores
Un elemento crítico de la ciberseguridad de la cadena de suministro que a menudo se pasa por alto es la forma en que los proveedores acceden a los sistemas internos. Los modelos tradicionales otorgan a los proveedores un amplio acceso a sistemas y datos, a menudo mucho más allá de lo necesario. Esto presenta un riesgo significativo porque comprometer la cuenta de un único proveedor podría darle a un atacante las claves de toda la red de una organización.
Un enfoque más dinámico implica implementar principios de confianza cero, mediante los cuales los proveedores reciben los permisos mínimos necesarios y el acceso se reevalúa constantemente. Esto se puede hacer a través de:
-
Control de acceso granular: Aprovechar los controles de acceso basados en roles (RBAC) o incluso los controles de acceso basados en atributos (ABAC) garantiza que los proveedores tengan acceso solo a los recursos que necesitan en un momento dado.
-
Monitoreo del comportamiento: Monitorear continuamente el comportamiento de los proveedores dentro de sus sistemas puede ayudar a detectar cualquier actividad anómala que pueda indicar un compromiso. Las herramientas de detección de anomalías basadas en IA pueden proporcionar señales de advertencia de que la cuenta de un proveedor se ha visto comprometida.
-
Acceso justo a tiempo: Algunas organizaciones adoptan el acceso justo a tiempo (JIT), en el que a los proveedores se les concede acceso temporal a los sistemas sólo cuando es necesario y el acceso vence automáticamente después de un período predefinido. Esto minimiza el riesgo de que queden abiertas puertas traseras persistentes.
Colaboración en toda la cadena de suministro.
Finalmente, mejorar la seguridad de la cadena de suministro requiere la colaboración entre todas las partes interesadas. Las organizaciones deben fomentar una cultura de responsabilidad compartida, donde la seguridad no se considere responsabilidad exclusiva de los proveedores individuales sino como un esfuerzo colectivo. Esto se puede lograr mediante:
-
Cuadros de mando de seguridad para proveedores: Compartir periódicamente informes de estado de seguridad con los proveedores fomenta la transparencia y la responsabilidad. Estos informes pueden resaltar áreas donde los proveedores deben mejorar y establecer expectativas claras para la remediación.
-
Talleres de Seguridad de Proveedores: Organizar talleres o sesiones de capacitación para proveedores puede ayudarlos a mejorar su comprensión de las prácticas de seguridad modernas y garantizar que sus equipos estén equipados para mitigar los riesgos.
Un llamado a la acción
Ahora es el momento de que los profesionales de la ciberseguridad reconsideren su enfoque de la seguridad de la cadena de suministro. Las prácticas tradicionales de gestión de riesgos de los proveedores ya no son suficientes en el panorama de amenazas actual. Al adoptar un monitoreo continuo, aprovechar la cadena de bloques para lograr transparencia e implementar un control de acceso dinámico, las organizaciones pueden crear cadenas de suministro más resilientes que sean más difíciles de comprometer para los atacantes.
En última instancia, asegurar la cadena de suministro no se trata sólo de proteger a sus proveedores, sino también de proteger todo su ecosistema empresarial.
