4 puntos clave de nuestro evento sobre la cadena de suministro DORA

Cuestiones que debatimos

✔ ¿Cómo tratar a los grandes proveedores que no dan margen en los contratos?
✔ ¿Debemos incluir a todos los proveedores en nuestra gestión de riesgos? ¿Y en nuestro enfoque?
✔ ¿Cómo gestionar los contratos en vigor?
✔ ¿Incluimos las aplicaciones críticas en nuestras pruebas de resistencia operativa?
✔ 'Ya tenemos la certificación ISO27001'/'ya cumplimos la norma NIS1'/'seguimos un marco como el NIST o las Buenas Prácticas para la seguridad de la información': ¿estamos preparados para el DORA?

Conclusión 1: Durante un ataque a la cadena de suministro, la comunicación transparente es clave

Alan Lucas, actual CISO de Homefashion Group y antiguo CISO de LiteBit, compartió valiosas percepciones de su paso por el sector de las criptomonedas. Mientras estuvo en LiteBit, asegurar grandes sumas de dinero contra las ciberamenazas era una tarea diaria, que se hacía más compleja por los importantes volúmenes de transacciones y la necesidad inherente de anonimato, todo ello dentro de un entorno poco regulado.

El compromiso de LiteBit con las buenas prácticas de ciberseguridad se puso a prueba cuando un proveedor clave fue víctima de un ciberataque, que a su vez dejó a LiteBit expuesta a posibles amenazas. Este incidente nos recordó la importancia de asegurar cada parte de la cadena de suministro.

Alan compartió algunas lecciones sobre cómo gestionaron este ataque a la cadena de suministro:

• Comunicación transparente entre el proveedor y el cliente.
  Implique desde el principio al equipo adecuado de incident response.
• Involucre a los equipos de incident response de ambas partes en su equipo de crisis. De lo contrario tendrá dos cajas negras, la colaboración es clave.
  Correlacione los registros y los datos de ambas partes para obtener una visión completa.
• Comuníquese lo antes posible. Pida (por contrato) a sus proveedores que le comuniquen los incidentes lo antes posible.

Conclusión 2: La industria del automóvil puede servir de ejemplo para poner en orden la seguridad de la cadena de suministro

Razvan Venter, del grupo de mercado Fabricantes de Bureau Veritas Cybersecurity, compartió algunas ideas sobre cómo la industria del automóvil enfoca la seguridad de la cadena de suministro. Este sector va por delante de otras industrias en este ámbito, ya que siempre han dependido en gran medida de sus proveedores para fabricar sus productos. La industria se adhiere a las normativas de ciberseguridad R155/R156, establecidas por la UNECE.

Estas normativas cubren una serie de áreas que incluyen requisitos generales, hardware, software/firmware y software de back-end de servicio, junto con actualizaciones. Razvan ha ayudado a crear un programa de proveedores con uno de los principales fabricantes de automóviles del mundo. Se puso a prueba con un piloto en el que participaron 42 proveedores de fabricación, servicios en la nube y desarrollo de aplicaciones back-end.

Razvan compartió con nosotros algunos de sus aprendizajes clave:

• Llevó más de un año conseguir que el grupo piloto de 42 proveedores cumpliera la normativa.
  Todos los proveedores estaban dispuestos a cumplir, pero algunos de ellos no podían dar cuenta de las consecuencias financieras de la solicitud.
• Los nuevos proveedores estaban dispuestos a cumplir mucho más fácilmente que los proveedores existentes.
  Hubo temas recurrentes que causaron problemas o retrasos. Por ejemplo, la supervisión de la seguridad y el almacenamiento de la información.
• Ni un solo proveedor cumplió sin implicación legal.

Conclusión 3: Aunque esté bien protegido, puede ser pirateado, por lo que el pentesting es importante

Michael Schouwenaar, de Bureau Veritas Cybersecurity , ofreció una perspectiva técnica sobre las complejidades de la defensa contra los ciberataques, especialmente cuando se utilizan herramientas de terceros. Lo ilustró con un incidente relacionado con una plataforma de banca por Internet comprometida a través de una herramienta de gestión de paquetes.

A pesar de que los desarrolladores solían depender de fuentes externas para los sistemas operativos, los marcos de desarrollo y las bibliotecas, el banco contaba con estrictas medidas de ciberseguridad. No obstante, los atacantes consiguieron cargar un paquete malicioso, que la herramienta de gestión de paquetes del banco distribuyó inadvertidamente en el sistema bancario, eludiendo los protocolos de seguridad establecidos.

Afortunadamente, esta debilidad se descubrió durante una prueba de penetración, lo que pone de relieve el papel fundamental de security testing para herramientas de terceros que forman parte integral de procesos esenciales.

Conclusión 4: Trabajar estrechamente con sus proveedores en materia de seguridad es clave

Jelle Groenendaal y Bram Ketting, de 3rd Risk,aportaron ideas sobre la importancia de la gestión de riesgos de terceros dentro de las cadenas de suministro, haciendo hincapié en su relevancia no sólo para la ciberseguridad, sino también para la sostenibilidad, la geopolítica, la escasez de recursos y el cumplimiento de la normativa.

Mientras que el DORA se centra en las entidades bajo acuerdo contractual, Jelle y Bram señalan el espectro más amplio de las relaciones con terceros, como alianzas, socios, revendedores, agentes, distribuidores y clientes, que también pueden introducir riesgos.

La colaboración con terceros suele ser necesaria para obtener conocimientos especializados o innovar a pesar de estos riesgos. Jelle y Bram observan una dependencia cada vez mayor de terceros mientras que los equipos de seguridad tienden a centrarse en los assets y procedimientos internos, lo que pone de manifiesto una posible desconexión.

Esto es especialmente preocupante dado que hasta el 60% de las violaciones de datos actuales están relacionadas con terceros. Un enfoque equilibrado de la gestión de los riesgos de seguridad tanto internos como externos se está convirtiendo en algo crucial.

Jelle y Bram compartieron algunas ideas de su experiencia trabajando en este campo durante muchos años:

• Comience con una metodología escalable desde el principio.
• Piense en el riesgo, no sólo en el cumplimiento.
• Trabaje con sus proveedores para comprenderlos, no se limite a lanzarles una hoja de cálculo.
• No se base únicamente en assessments y clasificaciones.
• Evite las hojas de cálculo.
• No existe una bala de plata.
  

Descargar el resumen completo (pdf)

Muchísimas gracias a Eward Driehuis por ser un anfitrión increíble, a Bram Ketting y Jelle Groenendaal por compartir sus conocimientos sobre la gestión de riesgos, a Alan Lucas por guiarnos a través de un ataque a la cadena de suministro.

ACERCA DE LA CIBERSEGURIDAD

Bureau Veritas Cybersecurity es un expert líder en ciberseguridad. Nuestros clientes abarcan desde la administración y la sanidad hasta las finanzas y la industria en todo el mundo. Bureau Veritas Cybersecurity ofrece servicios técnicos, como assessment de vulnerabilidades, Penetration Testing y Red Teaming. También proporcionamos certificación para entornos IoT e industriales, así como auditorías, servicios forenses y formación de awareness. Nuestro objetivo es aumentar su ciberresiliencia.

Bureau Veritas Cybersecurity es una empresa de Bureau Veritas. Bureau Veritas (BV) es una empresa que cotiza en bolsa especializada en ensayos, inspección y certificación. BV fue fundada en 1828, cuenta con más de 80.000 empleados y está presente en 140 países. Bureau Veritas Cybersecurity es la piedra angular de la estrategia de ciberseguridad de Bureau Veritas.