Gestionar el riesgo de los proveedores como propio

(Entrada publicada inicialmente en el blog del CERTSI_)

La externalización de procesos no es algo que podamos considerar como una novedad. Más bien todo lo contrario. Y en particular, en lo que respecta a las TIC (tecnologías de la información y las comunicaciones) es casi habitual que, al menos una parte, de nuestros sistemas sean accedidos por terceros o, directamente, sean gestionados por terceros. El abanico de opciones es tan amplio como mantenimientos de equipos, operación - administración remota, soportes in situ o remotos, mantenimiento de aplicaciones y, eso sin tener en cuenta otro tipo de terceros (que podríamos denominar no-conectados) que, sin acceso a nuestros sistemas de información, sí que almacenan y/o procesan información en sus propios sistemas (consultoras, auditoras, gestoras en general y un largo etcétera).

Y el escenario de los operadores críticos no es ajeno a este fenómeno, considerando que muchos entornos industriales además, están afectados por mantenimientos acordados con los fabricantes o con entornos geográficos muy distribuidos donde es imprescindible en apoyarse en distintos terceros que puedan dar cobertura territorial a las labores que hubieran que realizar en el campo. Lo que sí es particular son las posibles consecuencias de cualquier incidente, dada la criticidad de este tipo de sistemas. Si en cualquier otro tipo de entorno, el impacto posible es:

  • Pérdida de información valiosa y de propiedad intelectual
  • Robo de información personal o financiera
  • Robo de fondos

En operadores críticos, el impacto puede afectar a un gran volumen de población o desencadenar un efecto en cascada debido a las relaciones de dependencia (pensemos, por ejemplo, en el sector energético).

En esta situación, los proveedores de la cadena de valor de los operadores se convierten en un vector de ataque más para aquellos que desean alcanzar al propio operador. En los últimos años hemos sido conocedores de múltiples ejemplos de este tipo de ataques (p.ej., Target o T-Mobile), pero lo más preocupante es que según diversos estudios los mecanismos de las empresas para conocer el riesgo al que están expuestos por esta vía no arroja resultados muy esperanzadores:

  • El 92% de las empresas no implementan ningún tipo de gestión de riesgos de proveedores
  • El 70% contratan con proveedores sin realizar ningún tipo de verificación de seguridad previa (el 60%, además, les da acceso a sus sistemas)
  • El 63% de las brechas de seguridad se originan en proveedores

Dado este escenario, INCIBE ha decidido desarrollar el modelo C4V, “Construcción de Capacidades de Ciberseguridad para la Cadena de Valor” con el objetivo de ayudar a los operadores a disponer de un modelo para evaluar el nivel de seguridad de los servicios de terceros que puedan afectar a sus sistemas y que sea objetivo, homogéneo y adaptado a los sistemas de control industrial.

En próximas entradas explicaremos con detalle cómo utilizar el modelo C4V para asegurar el nivel de seguridad de la cadena de valor y cómo se lleva a cabo una auto-evaluación respecto al mismo.