La cadena de suministro: un desafío global en ciberseguridad

  • Opinión
Manuel Diaz Sampredo Huawei 2

Lo primero que debemos tener en cuenta cuando hablamos de ciberseguridad, es que ésta no depende en su totalidad del componente tecnológico, sino que el factor humano es -por razones obvias- fundamental. Al fin y al cabo, es la persona la que intencionadamente o incluso de forma inconsciente puede llegar a hacer un uso fraudulento o poco ético de la información.

 Este es, además, el principal foco que el departamento de TI de cualquier compañía acomete durante los primeros días de la actividad profesional de un empleado, informando y previniendo de las consecuencias -tanto a nivel personal como a nivel corporativo- por el uso incorrecto de la información.

La mayoría de las estrategias de ciberseguridad llevadas a cabo hoy día tienen una naturaleza defensiva o reactiva, en lugar de una metodología ofensiva o proactiva. Esta actitud, junto a la falta de inversión o atención suficiente, puede llegar a generar brechas en la seguridad de las infraestructuras de información de las organizaciones. De forma paralela, los cibercriminales muestran una creciente sofisticación a la hora de infiltrarse en las redes empresariales, haciendo uso de un despliegue de herramientas y técnicas de última generación.

De este modo, la gestión de riesgos en la cadena de suministro no consiste sólo en asegurar que los productos y servicios estén disponibles cuando sea necesario, sino que también ha de orientarse hacia el ciclo de vida del producto para minimizar las posibilidades de que sean manipulados de forma malintencionada, falsificados o incluso explotados con fines ilícitos. Sin embargo, antes de centrarse en los riesgos que la cadena de suministro pueda llegar a tener, es recomendable que la organización esté al corriente de las potenciales amenazas de ciberseguridad y desarrolle e implemente un plan específico para cada una de ellas.

Los ataques a la cadena de suministro pueden incluir: sabotaje, manipulación, falsificación, piratería, robo, destrucción, alteración, desviación, corrupción, ingeniería social o incluso amenazas internas. Algunos de los ejemplos más específicos de este tipo de amenazas son: un posible fallo en la producción o distribución de un producto o servicio; la confianza en un proveedor de servicios malintencionados o no calificado; la introducción de vulnerabilidades en el hardware o software de la empresa o incluso la instalación de hardware o software falsificado.

Hasta ahora, los riesgos de la cadena de suministro no se habían abordado en absoluto o se afrontaban de forma inadecuada, ineficaz o ineficiente. Los conflictos pueden surgir en el último peldaño de la cadena (por ejemplo, proveedores de componentes o desarrolladores de controladores) o incluso proceder de niveles más escalados (por ejemplo, integradores y canales de distribución).

En Huawei, las todas recomendaciones que damos a nuestros clientes relativas a la gestión y control de la ciberseguridad, son también aplicadas internamente en nuestra compañía. De hecho, abordar el riesgo de la cadena de suministro es parte del Programa General de Control de toda la empresa. Esta tarea se encuentra enmarcada dentro del rol del Comité Global de Ciberseguridad y Protección de la Privacidad (GSPC), que es el órgano superior en materia de ciberseguridad y privacidad, encargado de la implementación de las estrategias de ciberseguridad en los campos pertinentes, y siempre bajo supervisión de un Comité de Auditoría.

La información del Sistema de Gestión de Seguridad de Huawei se basa en las normas ISO 27000 e incluye la certificación ISO 27001. La compañía ha establecido un sistema de gestión de seguridad de la cadena de suministro en base a los requisitos y procesos necesarios para garantizar la calidad, la seguridad de la información, la protección del medio ambiente y el aseguramiento de TI, así como los requisitos de ISO 28000 (Gestión de la Seguridad de la Cadena de Suministro) y C-TPAT10 (Customs-Trade Partnership Against Terrorism). El Sistema de Gestión de Seguridad de la Cadena de Suministro ha pasado los requisitos de certificación de terceros para ISO 28000.

De esta forma, la compañía puede identificar y controlar los riesgos de seguridad durante el proceso en todos sus puntos, desde la recepción de los materiales hasta la entrega personalizada. Huawei selecciona y califica los proveedores sobre la base de sus sistemas, procesos y productos, eligiendo a los que contribuyen a la calidad y seguridad de los productos y servicios. Además, la empresa supervisa y evalúa regularmente el desempeño de los proveedores calificados y comprueba la integridad de los componentes de terceros en cada uno de los procesos, registrando dicho desempeño y estableciendo un sistema de trazabilidad visualizando todo el proceso.

No existe una fórmula mágica para ayudar a las organizaciones a avanzar en la idea de que el riesgo en la cadena de suministro es algo de lo que deben preocuparse. Con el paso del tiempo, la aparición de potenciales amenazas cada vez mayores y una insuficiente prevención, el riesgo en la cadena de suministro es constante. Esa es una de las razones por las que somos entusiastas defensores de los diversos pasos que se están dando en forma de iniciativas en todo el mundo para potenciar la seguridad en la cadena de suministro.

Pero hay una serie de factores internos y externos que pueden motivar a una organización -pública o privada- para comprender mejor el riesgo y reducirlo. Estos factores incluyen requisitos legales y reglamentarios, requisitos y disposiciones contractuales del cliente, requisitos de diligencia debida, incentivos de las compañías de seguros y el deseo de superar a los competidores y de vender más productos y servicios.

En cualquier caso, hay que complementar el trabajo que se ha hecho hasta ahora para crear una verdadera conciencia del riesgo en la cadena de suministro y de lo que hay que hacer al respecto, y trabajar más duro -en colaboración permanente- para comprender y abordar mejor este riesgo tan específico. En este sentido, los gobiernos y el sector privado tienen que trabajar conjuntamente en vez de esperar a que la otra parte dé un paso adelante y actúe. Los gobiernos deben usar su capacidad como facilitador para dar a conocer e impulsar la gestión del riesgo en la cadena de suministro, además de ayudar a proteger la seguridad nacional, la seguridad pública y la aplicación de la ley, la disponibilidad de servicios públicos, las infraestructuras críticas y las organizaciones privadas, así como la privacidad de la información de las organizaciones e individuos.

Las organizaciones, por su parte, deben considerar los factores de éxito probados y realizar actividades para gestionar eficazmente la ciberseguridad y los riesgos actuales sobre la privacidad. Por consiguiente, deben además comprender los riesgos propios de su organización y decidir cómo quieren trabajar en el futuro. Pero -sobre todo- deben tomarse en serio la importancia de comprender y abordar el riesgo que afrontan en relación con sus proveedores y los proveedores de terceros a través de todo el ciclo de vida de los productos.

Manuel Díaz Sampedro, Cyber Security & Data Protection Officer de Huawei España