En el panorama digital actual, la protección de la cadena de suministro va de la mano con la defensa de la ciberseguridad. Dado que las organizaciones recurren cada vez más a proveedores externos y software de terceros para satisfacer sus necesidades, ahora nos enfrentamos a una serie de riesgos completamente nuevos fuera de las cuatro paredes de la organización. Y esos riesgos de la cadena de suministro pueden afectar a todo en la empresa, desde el diseño de software hasta los productos de software implementados.
En este blog, aprenderemos el concepto de gestión de riesgos de la cadena de suministro y su papel en la ciberseguridad. También analizaremos cómo se pueden identificar los riesgos comunes, cómo se pueden desarrollar métodos de evaluación eficaces y cómo se pueden establecer estrategias de seguridad sólidas. También analizaremos algunos de los principales marcos, casos de uso específicos del sector y otras prácticas recomendadas que las organizaciones pueden utilizar para garantizar la seguridad de la cadena de suministro.
¿Qué es la gestión de riesgos de la cadena de suministro?
La gestión de riesgos de la cadena de suministro (SCRM) es el conjunto de acciones y procesos que permiten a las organizaciones reconocer, evaluar y minimizar los riesgos que implican a sus socios externos, proveedores y prestadores de servicios. Abarca los elementos digitales que proporcionan un producto o servicio.
La gestión de riesgos de la cadena de suministro analiza diversos componentes en busca de vulnerabilidades antes de entrar en el entorno de la organización. También establece un seguimiento para detectar posibles problemas que puedan surgir más adelante. Este enfoque tiene como objetivo la seguridad en todos los puntos de contacto entre el mundo exterior y los sistemas internos.
Los equipos de seguridad, TI, compras, jurídico y comercial deben trabajar juntos para que la SCRM sea eficaz. Este enfoque interfuncional garantiza que se cubra todo el espectro de riesgos de seguridad de las relaciones con los proveedores, desde la selección hasta la gestión de contratos y las revisiones periódicas de seguridad.
¿Por qué es importante la gestión de riesgos de la cadena de suministro?
En una era en la que las organizaciones dependen cada vez más de proveedores externos y bibliotecas de terceros, la gestión de riesgos de la cadena de suministro ha cobrado importancia. Hoy en día, la mayoría de las empresas cuentan con docenas o cientos de terceros que les ayudan a llevar a cabo su actividad. Cada relación conlleva riesgos de seguridad que pueden cambiar la postura de seguridad de una organización.
Muchas aplicaciones de software modernas se componen de elementos procedentes de muchas fuentes diferentes. El código de una aplicación empresarial suele incluir docenas de bibliotecas y marcos de terceros. Si alguno de estos componentes tiene una vulnerabilidad de seguridad, toda la aplicación puede verse comprometida. El problema de la dependencia también se aplica a los servicios en la nube, los proveedores gestionados y los proveedores de hardware.
Tipos comunes de riesgos de la cadena de suministro
Los riesgos de la cadena de suministro pueden presentarse en forma de software comprometido, ataques a servicios, accesos internos o accesos de terceros, cada uno de los cuales requiere sus propios métodos de detección y protección. Los tipos más comunes son los siguientes:
Ataques de inyección de código
Los ataques de inyección de código consisten en que un atacante inserta código malicioso en software legítimo, ya sea durante su desarrollo o distribución. Esto puede ocurrir cuando un atacante obtiene acceso a repositorios de código fuente, sistemas de compilación o servidores de actualización. Un ejemplo muy conocido es el ataque a SolarWinds, en el que se insertó código para puertas traseras en las actualizaciones de software y se distribuyó a miles de clientes.
Software comprometido
Otro riesgo importante proviene de los componentes de software comprometidos. Las bibliotecas de código abierto pueden acelerar el desarrollo y son ampliamente utilizadas por muchos desarrolladores, pero también pueden albergar vulnerabilidades o código malicioso. Cuando estas partes defectuosas se incorporan a las aplicaciones, estas heredan sus defectos de seguridad.
Violaciones de seguridad de los proveedores
Las violaciones de seguridad de los proveedores suponen un riesgo cuando los proveedores con acceso a los sistemas o datos de una organización sufren incidentes de seguridad. Si alguien con acceso a la red o a información confidencial se ve comprometido, los atacantes pueden aprovechar esta relación y moverse lateralmente hacia el entorno del cliente.
Manipulación del hardware
Los ataques a la cadena de suministro del firmware implican comprometer el software integrado en los componentes de hardware. Esto puede incluir la inyección de código malicioso en las actualizaciones de firmware, el compromiso de los controladores de dispositivos o la manipulación de los procesos de arranque.
Abuso del mecanismo de actualización
El abuso de los mecanismos de actualización se dirige a los canales que se utilizan para la entrega de actualizaciones de software reales. Los atacantes proceden a comprometer estas rutas de distribución de confianza, lo que les permite distribuir malware disfrazado como si procediera de proveedores de confianza.
Componentes clave de la gestión de riesgos de la cadena de suministro
Existen componentes clave de la gestión de riesgos de la cadena de suministro que, cuando se utilizan conjuntamente, pueden ser eficaces. Forman un ecosistema integral para descubrir, supervisar y gestionar los riesgos que plantean los proveedores externos y sus componentes.
Evaluación y gestión de riesgos de los proveedores
La evaluación de riesgos de los proveedores sienta las bases para la seguridad de la cadena de suministro. Este proceso evalúa las prácticas de seguridad de los proveedores nuevos y existentes antes de concederles acceso a los sistemas o datos. Una buena evaluación examina los controles técnicos y las políticas de seguridad, revisa los incidentes pasados y la madurez general de la seguridad. Durante la evaluación, las organizaciones deben disponer de un cuestionario y un sistema de puntuación estandarizados para los proveedores, lo que puede ayudar a compararlos de forma objetiva.
SCA y lista de materiales de software (SBOM)
Las herramientas SCA analizan el código de las aplicaciones para identificar todos los componentes de terceros que se utilizan y buscan vulnerabilidades conocidas en ellos. Estas herramientas generan una lista completa de todas las dependencias de software y notifican a los equipos cuando se detectan vulnerabilidades en estos componentes. El SCA suele generar una lista de materiales de software (SBOM) que describe todos los componentes de una aplicación, junto con sus versiones, configuraciones y cualquier vulnerabilidad que pueda existir.
Planificación de la respuesta a incidentes para ataques a la cadena de suministro
Los ataques a la cadena de suministro implican algunos componentes únicos que no todos los planes de respuesta a incidentes abordan. Esto hace que sea necesario que las organizaciones cuenten con planes de acción que se refieran específicamente a las vulnerabilidades que se producen a través de proveedores de confianza. Dichos planes deben centrarse en aislar los dispositivos, ponerse en contacto con los respectivos proveedores, comprender el alcance de la violación y mitigar el daño causado. Los equipos de respuesta necesitan instrucciones claras sobre cuándo y cómo cortar el acceso a los proveedores comprometidos y restaurar los servicios una vez que el incidente haya terminado.
¿Cómo identificar y evaluar los riesgos de la cadena de suministro?
Existe un enfoque sistemático para reconocer y analizar los riesgos de la cadena de suministro, que implica una combinación de recursos técnicos y el análisis de los procesos empresariales. Pero las organizaciones deben disponer de formas claras de revelar los posibles problemas antes de que empiecen a afectar a las operaciones.
La identificación de los riesgos de la cadena de suministro digital comienza con la creación de una lista completa de materiales de software (SBOM) de todos los códigos, dependencias, contenedores y servicios en la nube de terceros que se utilizan en toda la organización. Esto debe adoptar la forma de un inventario automatizado que detalle qué componentes se utilizan en cada aplicación, su información de versión, las vulnerabilidades conocidas y su importancia para las operaciones comerciales.
Los equipos de seguridad deben integrar herramientas de análisis con los procesos de CI/CD y colaborar con los equipos de desarrollo y TI para garantizar que no se pase por alto ninguna dependencia, API o microservicio.
Técnicas para mitigar los riesgos de la cadena de suministro
Existen varias estrategias eficaces que las organizaciones pueden implementar para reducir los riesgos de seguridad de la cadena de suministro. En conjunto, estas técnicas proporcionan una serie de capas de defensa para proteger contra las amenazas externas de forma escalonada.
Requisitos de seguridad de los proveedores
Unos requisitos de seguridad bien definidos en los contratos con los proveedores sientan una base sólida para la seguridad de la cadena de suministro. Estos requisitos deben incluir controles de seguridad mínimos, certificaciones de cumplimiento, plazos de notificación de infracciones y derechos de auditoría. Los acuerdos legales deben hacer que la seguridad sea innegociable y permitir a las organizaciones hacer cumplir las normas para los proveedores, haciéndolos responsables de cualquier fallo de seguridad. Deben ser específicos, medibles y tener consecuencias en caso de incumplimiento.
Verificación de la integridad del código
La verificación de la integridad del código garantiza que cualquier software que entre en el entorno no haya sido manipulado. Esto incluye verificar las firmas digitales, confirmar que los resultados del hash son los que deben ser y rastrear el origen de cualquier código entrante. Las organizaciones deben implementar herramientas automatizadas que validen la integridad de las actualizaciones de software, las bibliotecas de terceros y los componentes de las aplicaciones antes de su instalación. No solo evitan que se inserte código malicioso en la cadena de suministro, sino que también detectan modificaciones no autorizadas de software legítimo.
Acceso con privilegios mínimos
Cada punto de integración de terceros debe configurarse con los permisos API y el acceso al sistema mínimos necesarios para su funcionalidad. Este enfoque de contención limita el alcance de cualquier brecha, evitando que los componentes comprometidos accedan a sistemas críticos más allá de su ámbito de actuación.
Redundancia de dependencias
La implementación de fuentes redundantes para paquetes y bibliotecas críticos permite a las organizaciones limitar el daño que podría causar un único repositorio o registro de contenedores comprometido. Esta estrategia permite cambiar rápidamente a dependencias alternativas si se descubren problemas de seguridad en un paquete concreto. El mantenimiento de múltiples fuentes verificadas para las dependencias clave requiere recursos de desarrollo adicionales, por lo que, en el caso de los componentes no críticos, la relación coste-beneficio en materia de seguridad puede no justificar el esfuerzo.
Pruebas de seguridad
Las pruebas de seguridad constantes de los productos y servicios de terceros proporcionan una validación de las afirmaciones de los proveedores en materia de seguridad, como pruebas de penetración, análisis de vulnerabilidades y revisiones del código del software proporcionado. Dado que el mayor riesgo suele provenir de los puntos de conexión entre los sistemas de los proveedores y las redes internas, las pruebas deben centrarse en esos puntos de integración.
Marcos y normas de gestión de riesgos de la cadena de suministro
Existen varios marcos y normas establecidos que ayudan a las organizaciones a crear enfoques estructurados para la seguridad de la cadena de suministro.
Marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST)
El Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) incluye directrices específicas para la gestión de riesgos de la cadena de suministro. La publicación especial 800-161 del NIST ofrece instrucciones detalladas para identificar, evaluar y responder a los riesgos de la cadena de suministro. Este marco utiliza un enfoque por niveles que ayuda a las organizaciones a adaptar sus esfuerzos de seguridad a su nivel de riesgo y a sus limitaciones de recursos.
ISO/IEC 27036
La norma ISO/IEC 27036 se centra específicamente en la seguridad de la información en las relaciones con los proveedores. Esta norma internacional proporciona directrices para la seguridad en los procesos de adquisición y la gestión continua de los proveedores. Ayuda a las organizaciones a incluir requisitos de seguridad a lo largo de todo el ciclo de vida del proveedor, desde la selección hasta la rescisión.
Certificación del Modelo de Madurez de Ciberseguridad (CMMC)
El marco de la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) incluye requisitos de la cadena de suministro para los contratistas de defensa. Establece controles específicos que los proveedores deben implementar en función de la sensibilidad de la información que manejan. Aunque está diseñada para la defensa, muchas organizaciones utilizan la CMMC como modelo para sus propios requisitos de la cadena de suministro.
Foro de garantía de software para la excelencia en el código (SAFECode)
El Foro de garantía de software para la excelencia en el código (SAFECode) proporciona las mejores prácticas para el desarrollo seguro de software en la cadena de suministro. Esta iniciativa impulsada por la industria se centra en técnicas prácticas para incorporar la seguridad en el software desde el principio.
Retos asociados a la gestión de riesgos en la cadena de suministro
La implementación de una gestión eficaz de los riesgos en la cadena de suministro se enfrenta a una serie de retos importantes. Para garantizar que las dependencias externas estén bien protegidas, las organizaciones deben eliminar estas capas de retos.
Limitaciones de visibilidad
La capacidad de las organizaciones para visualizar la cadena de suministro es incompleta. La mayoría de los proveedores realizan sus compras a través de sus propios proveedores, lo que crea muchos niveles de dependencias que son difíciles de rastrear. Es posible que los equipos de seguridad no sean conscientes del riesgo potencial que suponen las dependencias de código abierto o las relaciones entre terceros. Esto reduce la transparencia y dificulta la identificación de todos los puntos de amenaza.
Limitaciones de recursos
Se necesitan muchos recursos para implementar la seguridad de la cadena de suministro de forma eficaz. Los equipos de seguridad deben sopesar la exhaustividad de sus revisiones de proveedores con el tiempo y el presupuesto disponibles para llevarlas a cabo. Esto suele llevar a las organizaciones a centrar sus esfuerzos de seguridad en las principales dependencias y repositorios de código primarios, mientras descuidan los componentes más pequeños y los microservicios que aún pueden representar riesgos de seguridad significativos en la cadena de suministro de software.
Seguridad frente a eficiencia operativa
Los controles estrictos de la cadena de suministro pueden detener el negocio y retrasar iniciativas importantes. Las revisiones de seguridad pueden retrasar el proceso de adquisición, lo que genera una tensión significativa con las unidades de negocio que requieren una rápida incorporación de proveedores. Las organizaciones deben sopesar las necesidades de seguridad frente a las necesidades empresariales. Por un lado, prestar demasiada atención a la seguridad puede crear cuellos de botella que perjudiquen la competitividad; por otro, dar prioridad a la rapidez puede generar un riesgo demasiado grande como para asumirlo.
Sistemas heredados
Numerosas organizaciones siguen utilizando sistemas heredados que no cuentan con capacidades de seguridad modernas. Estas aplicaciones heredadas podrían estar utilizando componentes obsoletos con vulnerabilidades conocidas, ya que el proveedor en cuestión ha dejado de ofrecer soporte hace mucho tiempo. El problema es que sustituir estos sistemas es caro y perturba la actividad empresarial. Se debe planificar la sustitución de los componentes heredados, pero mientras tanto los equipos de seguridad necesitarán estrategias para mitigarlos.
Normas de seguridad coherentes
Crear una seguridad coherente entre diferentes proveedores es casi imposible. Se trata de sectores diferentes, con estatutos y niveles de madurez de seguridad distintos. Un proveedor de servicios en la nube puede ser diferente de un fabricante de hardware. El reto de las organizaciones es crear técnicas de evaluación que sean lo suficientemente ágiles como para tener en cuenta esas diferencias sin sacrificar la garantía de seguridad.
Prácticas recomendadas para la gestión de riesgos en la cadena de suministro
La seguridad eficaz de la cadena de suministro depende de enfoques coherentes, junto con registros, políticas y compromiso organizativo. Las siguientes prácticas recomendadas ayudan a las organizaciones a desarrollar defensas sólidas contra las amenazas de la cadena de suministro.
Protocolos de evaluación de la seguridad de los proveedores
Se crean procesos de prueba estandarizados para confirmar que todos los proveedores se evalúan de la misma manera. Esto debe incluir protocolos como cuestionarios de seguridad, revisiones de documentación y pasos de verificación alineados con el nivel de riesgo del proveedor. Las organizaciones deben crear un enfoque basado en el riesgo y definir qué comprobaciones deben realizarse en cada nivel, es decir, comprobaciones básicas para proveedores de riesgo bajo y medio y revisiones en profundidad para proveedores críticos.
Auditorías de seguridad periódicas
Las auditorías aleatorias comprueban si los proveedores practican lo que predican. Entre los ejemplos de estas revisiones se incluyen los escaneos automatizados de código, las pruebas dinámicas de API y las auditorías de acceso a repositorios para dependencias críticas. Las auditorías deben verificar la integridad de los procesos de CI/CD, los registros de contenedores y los repositorios de paquetes para confirmar la correcta implementación de los controles de seguridad.
Requisitos de seguridad en los contratos
La inclusión contractual de requisitos de seguridad detallados para los proveedores crea obligaciones que pueden hacerse cumplir. Dichas cláusulas deben detallar los niveles mínimos de controles de seguridad, los plazos para la notificación de infracciones, los derechos de auditoría y las consecuencias del incumplimiento. El departamento jurídico debe colaborar con el de seguridad para negociar un lenguaje que sea técnicamente preciso. Los requisitos deben abarcar la protección de datos, los controles de acceso, gestión de vulnerabilidades y respuesta a incidentes. Los contratos también deben incluir derechos de rescisión por incumplimientos de la ciberseguridad.
Firma y verificación de código
El uso de la firma de código para todos los componentes del software garantiza que el código no se altere después de su creación. Las empresas deben exigir a los proveedores que el código esté firmado digitalmente, con métodos de verificación. Las firmas deben ser comprobadas por los sistemas internos antes de instalar actualizaciones o nuevos componentes. Se espera que este paso garantice la integridad y autenticidad del código. Todo código sin firmar o firmado incorrectamente debe generar alertas y prohibirse su instalación.
Cultura de concienciación sobre la seguridad
Crear conciencia entre los empleados de todos los equipos e interactuar con los proveedores mejora el aspecto humano de la seguridad de la cadena de suministro. Esto incluye formar al personal en normas de seguridad, instruir a los desarrolladores para que inspeccionen el origen de los componentes y alertar a los equipos comerciales sobre los riesgos en la seguridad de los proveedores. El personal debe recibir información actualizada periódicamente sobre las amenazas emergentes en la cadena de suministro y las técnicas de ataque.
Ataques notables a la cadena de suministro
Los siguientes incidentes de seguridad han destacado en dos importantes ataques a la cadena de suministro.
Ataque a SolarWinds
Menos de un mes después de la brecha, varios proveedores de seguridad informática y agencias gubernamentales de ciberseguridad concluyeron que el ataque a SolarWinds (descubierto en diciembre de 2020) fue uno de los compromisos más sofisticados de la cadena de suministro jamás identificados o intentados.
Los hackers se introdujeron en el entorno de desarrollo de la empresa e implantaron armas en el programa de monitorización de redes Orion. Esta actualización del software comprometido se firmó digitalmente y se distribuyó a unos 18 000 clientes. Una vez instalado, el malware (denominado SUNBURST) creó una puerta trasera que permitió al atacante acceder a la red afectada. El ataque pasó desapercibido durante meses y afectó a objetivos valiosos, entre ellos varias agencias gubernamentales estadounidenses, Microsoft, FireEye y numerosas empresas de la lista Fortune 500.
Ataque NotPetya
El ataque NotPetya de junio de 2017 comenzó con actualizaciones de M.E.Doc, un software de contabilidad ucraniano utilizado en la declaración de impuestos. Los hackers encontraron una forma de acceder al servidor de actualización del software y subieron un malware que destruía los terminales, haciéndose pasar por una actualización real.
Aunque estaba diseñado para atacar solo a organizaciones ucranianas, el malware autorreplicante se propagó rápidamente por todo el mundo a través de las conexiones de red. El gigante naviero Maersk, la empresa farmacéutica Merck y el servicio de mensajería FedEx sufrieron importantes interrupciones en sus operaciones. Maersk, por ejemplo, se vio obligada a sustituir 45 000 ordenadores y 4000 servidores, con unos daños para la empresa que superaron los 300 millones de dólares.
Ciberseguridad basada en IA
Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.
DemostraciónConclusión
A medida que las organizaciones se ven cada vez más expuestas a ataques a través de sus proveedores externos y dependencias de software, la seguridad de la cadena de suministro se está convirtiendo en un factor crítico. La complejidad de las cadenas de suministro modernas a menudo genera agujeros de seguridad que los atacantes están más dispuestos a explotar. Las organizaciones pueden protegerse de estas amenazas cibernéticas, hasta cierto punto, pero solo cuando se cuentan con enfoques estructurados de gestión de riesgos.
La seguridad de la cadena de suministro se reduce a una combinación de controles técnicos, procesos de evaluación de proveedores y concienciación de la organización. Las organizaciones deben tener visibilidad de sus dependencias externas sin comprometer los requisitos de seguridad y las necesidades empresariales. Los ataques a la cadena de suministro son cada día más sofisticados y los equipos de seguridad necesitarán herramientas de última generación para detectarlos de forma eficaz.
"FAQs
La gestión de riesgos de la cadena de suministro es el proceso de identificar, evaluar y mitigar los riesgos de seguridad de los proveedores externos, los proveedores y los componentes de terceros utilizados en las operaciones de una organización.
Las empresas pueden identificar los riesgos de la cadena de suministro mediante evaluaciones de proveedores, cuestionarios de seguridad, herramientas de escaneo de código y supervisión continua de las actividades de los proveedores.
La tecnología ayuda mediante el escaneo automatizado, la supervisión continua y las herramientas de detección de amenazas que identifican los componentes vulnerables y los comportamientos inusuales en cadenas de suministro complejas.
Una estrategia de gestión de riesgos de la cadena de suministro es un plan estructurado que incluye políticas de selección de proveedores, requisitos de seguridad, métodos de evaluación y planificación de la respuesta a incidentes para las dependencias externas.
Los sectores de servicios financieros, salud, gobierno, infraestructura crítica y tecnología enfrentan los mayores riesgos de la cadena de suministro debido a sus valiosos datos y funciones críticas.
Sí, normas como la ISO/IEC 27036, el Marco de Ciberseguridad del NIST y la serie ISO 28000 proporcionan directrices para la gestión de la seguridad de la cadena de suministro.
