Co es bien sabido, las organizaciones, independientemente de que sean públicas o privadas, deben implementar una serie de medidas de seguridad para proteger sus activos, ya sea por su propia necesidad o por imperativo legal. Pero también depende de sus proveedores que estas se conviertan en blanco de ciberataques. Por lo tanto, el entorno corporativo se ve obligado a prestar especial atención a su cadena suministro.
Con esta idea inicial comenzó César Álvarez, coordinador de Proyectos de la Fundación Borredá, el «Zoom» de la entidad sin ánimo de lucro protagonizado, precisamente, por la seguridad en la cadena de suministro. Este evento digital, celebrado de la mano del socio protector Telefónica, reunió a más de 250 profesionales para estudiar cómo diversas empresas gestionan la ciberseguridad de sus proveedores.
Por ejemplo, el caso de la propia Telefónica es tremendamente complejo, tal y como puso de manifiesto su director de Seguridad Operativa, Jesús Muñoz. «Tenemos una gran dispersión geográfica, 288 jurídicas (con sus propias circunstancias), más de 40.000 proveedores y decenas de miles de contratos todos los años», contextualizó. Es por ello que desde el gigante de telecomunicaciones han decidido delegar la seguridad en todas las áreas contratistas, puesto que desde el Departamento de Seguridad no pueden gestionar tal volumen de activos.
En cuanto al ciclo de vida de la gestión de sus proveedores, en sus inicios, Telefónica identifica y gestiona los riesgos de seguridad. «Los potenciales proveedores deben cumplir los requisitos de seguridad necesarios para ser adjudicatarios, los contratos en vigor han de ser monitorizados y medidos para garantizar el cumplimiento de los aspectos de seguridad y al finalizar un contrato se definen y ejecutan las acciones necesarias desde el punto de vista de la seguridad», completó Muñoz.
Homologación de proveedores
En el caso de BBVA, César Alonso, su director de Transformación, explicó que primeramente se enfocan en las certificaciones de sus proveedores. «Nos interesa que el proveedor tenga cierto peso, roles y responsabilidades en seguridad, ya que nos otorga una mayor confianza», afirmó. Además, desde la entidad bancaria también quieren estar al tanto de los ciberincidentes a los que ha estado expuesto el proveedor.
Posteriormente, tal y como explicó el ponente, son las distintas áreas (después de que el Departamento de Compras homologue y ponga en su cartera al proveedor), quienes analizan el riesgo del binomio proveedor-servicio. «En función del riesgo, definimos una serie de medidas que debe cumplir el proveedor», completó el representante de BBVA.
Por su parte, José María Rico, director de Seguridad de Red Eléctrica Española, explicó que su organización enfoca la seguridad en la cadena de suministro desde el punto de vista de la gestión del riesgo. Para ello, primeramente analizan qué tipo de servicios o suministros van a abordar.
Sin embargo, Rico expuso un problema al que se ven abocados en numerosas ocasiones: la Dirección advierte que la gestión de la seguridad «no puede paralizar el negocio ni retrasar o encarecer el servicio». «Por tanto», explicó el invitado de Red Eléctrica, «debemos concienciar a la organización de que hay un riesgo que puede afectar al negocio».
En este proceso existe, además, un elemento que sacó a colación Rico y que supone un grave problema para las organizaciones: los insiders. Personal interno que, debido a su conocimiento y posibilidad de acceso a diversos activos corporativos más o menos críticos, puede poner en jaque a las compañías. Es por ello que el representante de Red Eléctrica Española advirtió de la necesidad de dotar a las compañías de las herramientas necesarias para gestionar este riesgo.
No todo es igual de crítico
Siguiendo con la evaluación del nivel de criticidad, para Antonio Ramos, socio fundador de Leet Security, «no puede haber un único proceso para todo porque no todo es igual de crítico». De hecho, según afirmó, «incluso un mismo servicio puede tener distintas criticidades».
A partir de ahí, el ponente abogó por establecer medidas en función de dicho riesgo que ayuden a que el proveedor en cuestión pueda ofrecer un mayor o menor nivel de seguridad. Y también que se le pueda someter a procesos más rigurosos de certificación en función de esa criticidad.
«Este proceso pone de manifiesto un reto: que todo el ecosistema garantice un nivel de seguridad a los clientes y que haya un proceso transparente y objetivo para evaluar esa ciberseguridad», completó.
Por todo ello, Ramos avisó de la importancia de no trabajar con proveedores que no muestran sus niveles de ciberseguridad. Sobre todo porque, a posteriori, esto «se convierte en un problema» de la empresa contratante.
Certificación de la cadena de suministro
Por último, Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional, también habló sobre los esquemas de certificación en ciberseguridad. Y para ello se basó en el Esquema Nacional de Seguridad, que se actualizará próximamente. En este sentido, y ante las opiniones que manifiestan la necesidad de contar con varios estándares de ciberseguridad en función de los requisitos y riesgos, Candau fue claro: «Debemos tener un esquema de ciberseguridad único, con todas las garantías y lo suficientemente ágil para que el proceso de gestión se incluya en las empresas proveedoras».
Finalmente, el representante de la Administración se mostró tajante a la hora de opinar sobre los insiders: «Tenemos suficiente madurez en ciberseguridad como para contar con una red lo suficientemente robusta y con los instrumentos necesarios que impidan acciones indeseables y se vigile el comportamiento de nuestros usuarios».
Archivado en: