A pesar de años de cautela, el riesgo de la cadena de suministro sigue siendo uno de los aspectos más frágiles y subestimados de la ciberseguridad.
Muchos de los incidentes cibernéticos más perturbadores y de alto perfil de este año compartieron una causa fundamental; La ruta del atacante hasta la empresa objetivo fue a través de un proveedor externo.
CEO y cofundador de ThreatAware.
Una verdad fundamental de la seguridad cibernética es que no se puede controlar lo que no se puede ver, y ese riesgo se multiplica cuando se origina en un proveedor externo, proveedor o socio dentro de su cadena de suministro en lugar de dentro de la red.
Sin embargo, muchas organizaciones todavía dependen de cuestionarios de autoevaluación y certificados de cumplimiento obsoletos como prueba de seguridad.
Hasta que las organizaciones puedan verificar la seguridad de cada socio en tiempo real, seguirán dependiendo de conjeturas en lugar de garantías, y esa es una posición peligrosa cuando los atacantes ya comprenden los puntos débiles de su cadena de suministro mejor que usted.
¿Por qué ocurren los ataques a la cadena de suministro?
Una de las razones principales es que los atacantes quieren obtener el mayor retorno de sus esfuerzos y han aprendido que la forma más fácil de lograr una empresa bien defendida es a través de un socio. Ningún ladrón intentaría derribar la puerta principal de un edificio bien protegido si pudiera robar una llave y entrar por la parte trasera.
También existen ventajas de escala: una empresa que proporciona servicios de TI, recursos humanos, contabilidad o ventas a múltiples clientes puede tener menos recursos para defenderse, un punto natural de ataque.
Los pequeños proveedores, proveedores de servicios y contratistas a menudo carecen del presupuesto y los recursos para implementar el mismo nivel de seguridad que las organizaciones más grandes a las que dan soporte, pero a menudo tienen acceso privilegiado a múltiples entornos.
Se trata de un problema amplio que requiere un esfuerzo concertado para abordarlo, pero hasta ahora no ha habido respuesta. La mayoría de las comprobaciones de proveedores todavía giran en torno a hojas de cálculo, encuestas y certificados que son estáticos y autoverificables.
Esquemas como Cyber Essentials, ISO 27001 o SOC 2 ofrecen marcos, pero solo confirman que hubo buenas intenciones en el pasado y no dicen lo que es cierto hoy.
Estos esquemas tienen valor, pero sólo ofrecen una instantánea de un momento dado. En realidad, las posturas de seguridad cambian a diario. Un certificado de un sitio web no le dice nada sobre si se implementa la autenticación multifactor, si los dispositivos están encriptados o si los puntos finales están parcheados.
Cuando la naturaleza del riesgo cibernético cambia tan rápidamente, es posible que las auditorías anuales de los proveedores no proporcionen la evidencia más precisa de su postura de seguridad. El resultado es un ecosistema basado en la confianza, donde el cumplimiento a menudo se convierte en un manto de comodidad.
Mientras tanto, los atacantes se aprovechan del desfase entre cada ciclo de auditoría y avanzan mucho más rápido que el proceso de verificación diseñado para detenerlos.
Hasta que la verificación se convierta en un proceso continuo, confiaremos en la documentación a medida que la infracción se extienda por la cadena de suministro. Cada relación con el proveedor se convierte entonces en un punto ciego que espera ser explotado. Si no mides constantemente la seguridad de estas conexiones, no las estás mejorando
No puedes proteger lo que no puedes ver
Incluso dentro de una sola organización, la mayoría de los equipos de seguridad todavía tienen dificultades para ver el panorama completo. En los innumerables entornos que he revisado, siempre hay dispositivos, cuentas o aplicaciones que quedan desatendidas.
En algunos casos, vemos que las organizaciones descubren un 30% más de dispositivos de los que pensaban que existían. Si no podemos mantener una visibilidad completa dentro de nuestras propias paredes, no es realista pensar que podemos entender la postura de seguridad de cientos de socios externos.
Entonces, ¿cómo pueden las organizaciones empezar a cerrar esta brecha de visibilidad?
Cómo se ve la verificación continua
Cada empresa, ya sea proveedor o cliente, debería poder mostrar su nivel de defensa activa en tiempo real. Esto significa una verificación continua, basada en datos e indiscutible.
Imagine un certificado que se actualiza automáticamente usando datos en vivo para mostrar su estado actual, uno que no puede ser falsificado, porque está directamente vinculado a los sistemas que ejecuta y las defensas que tiene implementadas.
La automatización hace que esto sea posible. La supervisión continua puede garantizar que controles como la protección de endpoints, MFA o la aplicación de parches estén habilitados y funcionando. Los paneles compartidos entre clientes y proveedores pueden proporcionar una visión transparente del estado de la seguridad en toda la cadena.
En ese mundo, los proveedores no sólo afirman que son seguros, sino que lo están demostrando. La evidencia, no las promesas, es lo que en última instancia generará resiliencia en las cadenas de suministro.
Cambiar la cultura del aseguramiento de terceros
La tecnología por sí sola no resolverá los problemas de la cadena de suministro y también es necesario un cambio de mentalidad. Muchas juntas directivas todavía están distraídas por la próxima gran tendencia de seguridad, mientras ignoran los conceptos básicos que realmente reducen las infracciones.
La prevención de infracciones debe medirse, informarse y priorizarse como cualquier otro KPI empresarial. Si un proveedor no puede demostrar que sus defensas están instaladas y funcionando, esto debe considerarse una falla de desempeño, no un problema técnico.
Durante años, la ciberseguridad se ha tratado como una tarea de cumplimiento, una tarea que se puede aprobar una vez y revisar más adelante. Esa cultura debe terminar. El futuro del aseguramiento reside en la rendición de cuentas continua, donde cada organización de la cadena pueda demostrar que es segura.
La creencia se prueba, no se asume
La seguridad de cada organización está definida por la fortaleza de su eslabón más débil, y en muchos casos este será una conexión de un tercero. Los atacantes ya lo entienden, incluso si no hacen muchos negocios.
Las auditorías de autocertificación y los certificados estáticos ya no reflejan la realidad de la rapidez con la que evolucionan las amenazas. La única manera de desarrollar una resiliencia real es pasar de los supuestos a la evidencia, de la creencia a la evidencia. La verificación continua basada en datos debe convertirse en el nuevo estándar para la seguridad de la cadena de suministro.
Hasta que podamos demostrar en tiempo real que nuestros socios están tan seguros como creemos, los atacantes de la cadena de suministro tendrán la manera más fácil de cruzar la puerta principal.
Hemos presentado el mejor software de cifrado.
Este artículo se creó como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
