Cinco Mejores Prácticas para Hacer Bien la Seguridad de la Cadena de Suministro
Los ataques a la cadena de suministro no son nuevos. De hecho, el Instituto Nacional de Estándares y Tecnología (NIST) publicó su informe inicial sobre el riesgo de la cadena de suministro en 2015.
Uno de los ataques a la cadena de suministro más conocidos ocurrió poco después, en 2017. NotPetya corrompió software de terceros, inicialmente utilizando una puerta trasera, y distribuyó ransomware solo unos meses después para causar un daño serio a organizaciones de todo el mundo.
Desafortunadamente, la discusión se centró principalmente en el aspecto del ransomware, perdiendo completamente el ataque original a la cadena de suministro: una puerta trasera desplegada en miles de organizaciones durante varios meses.
“El potencial para ataques catastróficos a la cadena de suministro es asombroso cuando consideras que una organización típica hace negocios con cientos, si no miles, de terceros.”
SolarStorm, el ataque a la cadena de suministro más impactante hasta la fecha, o más precisamente etiquetado por su término técnico “amenaza persistente avanzada”, fue un evento histórico porque saboteó un producto de software popular a nivel de código fuente y permitió a los atacantes exfiltrar las joyas de la corona de múltiples organizaciones de alto perfil en los sectores de seguridad, tecnología y gobierno. Desafortunadamente, todavía no conocemos la magnitud completa del daño sufrido y los hackers han ocultado sus huellas tan bien que puede que nunca lo sepamos con certeza.
El potencial para ataques catastróficos a la cadena de suministro es asombroso cuando consideras que una organización típica hace negocios con cientos, si no miles, de terceros. ¿Trabajas con una empresa de procesamiento de nóminas subcontratada? Estás en riesgo. ¿Contratas con una agencia de marketing digital? Ten cuidado. ¿Colaboras con socios de canal a través de una plataforma en la nube? Cuidado con los ataques imprevistos e indetectados.
La pregunta no es si los vectores de amenaza cibernética de tu organización están expandiéndose. Ya sabes que la respuesta es “sí”. La verdadera pregunta es, ¿qué haces al respecto?
Cinco Prácticas Clave de Seguridad en la Cadena de Suministro
A menos que puedas contratar un ejército de analistas de seguridad, suscribirte a todos los servicios de detección de amenazas, comprar todas las herramientas de seguridad del mercado o mantenerte fuera de la red digital, necesitas entender cómo detectar ciberataques, protegerte contra ellos y remediar adecuadamente su impacto.
Aquí hay cinco principios de ciberseguridad que todo líder empresarial debe conocer, y estar listo para presionar a tu CISO, CIO o CTO para minimizar un ataque a la cadena de suministro:
-
Valida la higiene y prácticas de ciberseguridad de tus proveedores. Aunque muchas organizaciones grandes tienen algunas medidas de protección para verificar la madurez de seguridad de sus proveedores, mi experiencia trabajando con innumerables organizaciones es que pocas, si acaso alguna, cumplen con todos los requisitos cuando se trata de garantizar con confianza la seguridad del proveedor. Si tu organización no tiene un procedimiento específico de gestión de riesgos de proveedores, puedes comenzar verificando certificaciones como Common Criteria, CIS, ISO 27000 y SOC 2.
No obstante, NotPetya y Solarwinds demuestran que debemos adoptar la gestión de riesgos de proveedores más ampliamente que nunca. Debemos medir el riesgo cibernético no solo para los proveedores que procesan nuestros datos o en escenarios de subcontratación, sino para cada pequeña aplicación o dispositivo IoT en la red que requiera conectividad a la nube. La pregunta no es si los vectores de amenaza cibernética de tu organización están expandiéndose. Ya sabes que la respuesta es “sí”. La verdadera pregunta es, ¿qué haces al respecto?
-
Examina detenidamente las políticas y procedimientos de parcheo automatizado. Puedes escuchar a los usuarios y ejecutivos quejarse de la interrupción del negocio cada vez que reciben una notificación de parche de seguridad. Las políticas y procedimientos de parcheo automatizado aseguran que los parches se apliquen de manera oportuna. Sin embargo, debes estudiar el parcheo automatizado de tu organización porque, si no se implementa y gestiona adecuadamente, los atacantes tienen más facilidad para hackear tu organización.
Por otro lado, validar los parches antes de la implementación no garantiza que estés protegido, dado el trabajo requerido para hacerlo. En su lugar, debes asumir que el parcheo automatizado no solo continuará, sino que probablemente aumentará. Asegúrate de que tu CISO esté tomando medidas adicionales para validar la integridad del parcheo automatizado.
La pregunta no es si los vectores de amenaza cibernética de tu organización están expandiéndose. Ya sabes que la respuesta es “sí”. La verdadera pregunta es, ¿qué haces al respecto?”
-
Comprométete con Zero Trust. Los días de acceso fácil a privilegios y la aplicación laxa de políticas de acceso deben terminar. Zero Trust—tal como suena—es la gran visión y debe ser la base de ciberseguridad de tu organización. Comienza reduciendo el número de usuarios privilegiados y el acceso a aplicaciones, servicios y datos, especialmente cuando se trata de software de terceros que es cada vez más prevalente en la organización.
Para obtener una mejor conciencia situacional, hazle a tu organización una pregunta simple: ¿Cuál es el número de activos o aplicaciones a los que un software de terceros conectado a la nube puede acceder dentro de nuestra red una vez que ha sido comprometido? La respuesta determinará si tus programas técnicos de ciberseguridad como la gestión de acceso privilegiado, la segmentación y los controles de refuerzo están siendo priorizados en relación con el riesgo real.
-
Controla la seguridad en el endpoint. “Shadow IT” hace que las organizaciones sean bastante susceptibles a los ataques a la cadena de suministro. Los usuarios finales inteligentes y con recursos han estado eludiendo durante mucho tiempo la aprobación de TI (y los controles de seguridad de TI) para implementar sus propios sistemas y aplicaciones. El riesgo de Shadow IT se acelera dramáticamente a medida que los usuarios más jóvenes (es decir, más cómodos técnicamente y más impacientes con los retrasos de TI) se unen a la organización.
Los dispositivos y aplicaciones no autorizados podrían ser maliciosos o fácilmente comprometidos, representando una bomba de tiempo no solo para el usuario y el dispositivo, sino para toda la organización. La seguridad en el endpoint ha sido históricamente la línea de defensa más efectiva contra los ciberataques enfocados en el uso de Shadow IT. En consecuencia, las organizaciones deben hacer cumplir la seguridad en el endpoint para todos los dispositivos que se conectan a la red y son controlados por los usuarios finales sin excepciones.
“¿Cuál es el número de activos o aplicaciones a los que un software de terceros conectado a la nube puede acceder dentro de nuestra red una vez que ha sido comprometido?”
-
Aprovecha la informática forense digital. Las tácticas tradicionales de respuesta a incidentes ya no son suficientes a medida que los ataques dirigidos se vuelven más sofisticados y frecuentes. Tener un atacante dirigido en tu entorno significa que tu negocio puede verse enormemente afectado por actividades de espionaje o sabotaje si no los eliminas de inmediato. Estos atacantes sofisticados suelen dejar puertas traseras, que utilizan repetidamente durante un período prolongado de tiempo.
Sin embargo, la mayoría de las organizaciones no realizan un análisis forense digital de los entornos afectados para intentar localizar puertas traseras ocultas. SolarWinds fue claramente una llamada de atención para aumentar la conciencia sobre este riesgo. Si te enfrentas a un ataque dirigido, la informática forense digital es imprescindible.
Aunque estas mejores prácticas están enfocadas en la ciberseguridad, la ciberseguridad es demasiado grande e importante para abdicar la responsabilidad a cualquier individuo—ya sea tu director de seguridad de la información (CISO) o un ejecutivo tecnológico equivalente encargado de proteger tu organización, datos y personas contra los hackers.
“La única suposición segura que puedes hacer sobre la ciberseguridad de la cadena de suministro es que tu organización está en riesgo, y debes hacer algo al respecto ahora—no después de que ocurra una violación.”
Para mantener una organización segura y resiliente, la ciberseguridad en última instancia es responsabilidad de toda la alta dirección y la junta directiva. Un CEO no ignora los problemas financieros, de ingeniería, de marketing o legales porque tiene ejecutivos funcionales supervisando esas áreas. El mismo argumento se aplica a la ciberseguridad.
La única suposición segura que puedes hacer sobre la ciberseguridad de la cadena de suministro es que tu organización está en riesgo, y debes hacer algo al respecto ahora—no después de que ocurra una violación.