La iniciativa de cadena de suministro de Biden depende de …



Quienes dirigen la orden ejecutiva de la cadena de suministro de EE. UU. Deben aprovechar los estándares, la medición y las lecciones que han aprendido los líderes de ciberseguridad.

Las cadenas de suministro de EE. UU. Enfrentan una amplia gama de desafíos, riesgos y vulnerabilidades. Desde el Ataque SolarWinds al reciente ataque de confusión de dependencia que afectó a empresas como Microsoft, Apple, Uber y Tesla, abundan los delitos cibernéticos en la cadena de suministro. Como saben los jefes de seguridad de la información (CISO) y los equipos de seguridad, los incidentes en la cadena de suministro tienen efectos en cascada.

Durante el apogeo de la pandemia de COVID-19, la escasez de suministros médicos, como equipos de protección individual (EPP) para los trabajadores de atención médica de primera línea, y otras escaseces críticas de suministros fueron un problema importante. Entonces, en febrero, el presidente Biden firmó Orden ejecutiva 14017, The us&#39s Offer Chains, que exige una revisión integral de las cadenas de suministro de EE. UU. Para identificar vulnerabilidades y riesgos, con el objetivo de informar cómo manejarlos la próxima vez que ocurra un evento similar al coronavirus. Los seis sectores en los que se centra la OE son la base industrial de defensa (DIB), la salud pública, la tecnología de la información y las comunicaciones, la energía y el transporte, y la agricultura.

Con la creciente dependencia de los productos y servicios digitales combinados con las tácticas avanzadas de los actores del estado-nación, hacer de la ciberseguridad una faceta clave de la OE es de crucial importancia para la seguridad common de la cadena de suministro. La cadena de suministro world-wide es como un organismo si un pie se cae, todo el cuerpo cae.

Lecciones de ciberseguridad para la cadena de suministro
Los expertos en TI piensan en la cadena de suministro de una manera que pueda informar a los líderes de este proyecto. La iniciativa incluye la identificación de vulnerabilidades creadas por la dependencia de la cadena de suministro de productos y servicios digitales. La ciberseguridad es una pieza del rompecabezas, pero debe ser un área de enfoque principal.

El éxito del proyecto EO depende de que sus partes interesadas consideren las lecciones de las iniciativas de gestión de riesgos de la cadena de suministro de ciberseguridad, que incluyen:

  1. Identifique las principales debilidades a lo largo de la cadena de producción, establish cuáles pueden solucionarse de manera rentable y compárelas con el impacto de los costos. Descubra dónde están los agujeros y qué vale la pena priorizar en función de la criticidad.
  2. Piense en la cadena de suministro como lo hace un practicante de ciberseguridad. El riesgo cibernético consiste en dar sentido a múltiples fuentes de datos, y el riesgo de la cadena de suministro es el mismo. No piense en la cadena de suministro como una entidad única más bien, considérelo como muchas entidades que producen datos maduros para un análisis de riesgo profundo.
  3. La estandarización es difícil y la comunicación es clave. Como expertos cibernéticos, administrar el riesgo es lo que hacemos, las vulnerabilidades y el riesgo es el idioma en el que hablamos, y hemos estado lidiando con la seguridad de la cadena de suministro durante años antes de que surgieran interrupciones a la escala de COVID-19.

La colaboración intersectorial y el enfoque en una comunicación sólida entre las jerarquías es el núcleo de la función comercial de ciberseguridad. Para que la iniciativa de la cadena de suministro de la administración de Biden tenga éxito, debe coordinarse entre agencias, entidades públicas y la industria del sector privado. Además, la forma en que el gobierno comunica los esfuerzos de mitigación, como el aumento de la regulación, que sigue al proyecto de un año, hará que la iniciativa se convierta en un fracaso en todos los sectores.

La mejor opción es confiar en los estándares, la medición y la colaboración entre industrias para que esto suceda. Otros estándares de la cadena de suministro, como la Certificación del Modelo de Madurez de Ciberseguridad (CMMC), pueden servir como modelos para un enfoque basado en datos.

Sin estas consideraciones, corremos el riesgo de una gran cantidad de tiempo, esfuerzo y análisis duplicados, solo para no mitigar los riesgos cibernéticos y posiblemente dar lugar a otro ataque a la cadena de suministro. Esperamos que las partes interesadas involucren a la comunidad de seguridad de la información para impulsar este proyecto. Aprovechar el análisis existente por parte de la comunidad de seguridad de la información será importante para su éxito.

¿Cómo endurecemos lo que apenas entendemos?
La cadena de suministro de EE. UU. No es una cadena en absoluto es una purple. Es un ecosistema con riesgos provenientes de todos los ángulos y múltiples puntos de falla. Es casi imposible descartar todos los riesgos potenciales en la cadena de suministro de EE. UU. si entendiéramos todas las dependencias y probabilidades, nuestras cabezas podrían explotar. Necesitamos un mejor análisis de los incentivos de amenazas persistentes avanzadas (APT): ¿Qué quieren los malos? ¿Cuáles son los objetivos colgantes? ¿De qué son capaces?

Hacer algunos modelos de escenarios y hablar en probabilidades podría conducir a decisiones más informadas con respecto a la mitigación del riesgo. NIST 800-30 y el Modelo Truthful son ejemplos de métodos de cuantificación de riesgos que tienen como objetivo convertir el riesgo de ciberseguridad en dólares y centavos. Comprender el riesgo de la cadena de suministro requiere medición, una sólida gobernanza, aportes de expertos en seguridad, intercambio de información y avances en el software program de gestión de riesgos informáticos y cibernéticos. En lugar de registrar la actividad de una APT, comience a obtener un patrón de hechos acerca de hacia dónde se dirigen.

La ciberseguridad tiene una ventaja porque vivimos para estandarizar los datos. Pensamos en lo complejo y costoso que puede ser el fracaso. Quienes están al frente de la iniciativa de la cadena de suministro pueden aprender mucho de nosotros. Si lo hacemos bien, tendremos la oportunidad de comprender el ecosistema y finalmente asegurar la cadena de suministro.

Como CPO y cofundador de CyberSaint, Padraic es un innovador de productos de riesgo y cumplimiento que apoya a los CISO, CIO y juntas directivas para administrar la ciberseguridad como una función comercial. La actividad real de Padraic abarca trabajar directamente con organizaciones de agencias públicas para … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial