Cómo asegurarse de que sus proveedores sean ciberseguros para protegerlo de los ataques a la cadena de suministro


En este momento, los proveedores de cadenas de suministro son un objetivo principal para los ciberdelincuentes. Un experto ofrece formas de eliminar la diana de los proveedores de suministros.

concepto de ciberseguridad

Imagen: Jaiz Anuar / Shutterstock

No hay muchas cosas seguras en la vida y, lamentablemente, una de ellas es cómo los delincuentes, cibernéticos o no, siempre aprovechan el eslabón más débil de la víctima para garantizar su éxito. Tom Merritt de TechRepublic, en su artículo, movie y podcast, Las 5 cosas principales que debe saber sobre los ataques a la cadena de suministro, analizó un eslabón débil importante que aparece en los titulares: las cadenas de suministro.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

Merritt dijo: «Aunque no esté a cargo de la vulnerabilidad en este caso, tiene opciones. Asegúrese de que sus proveedores (proveedores) cumplan con estrictos estándares de seguridad y acepten las pruebas de terceros».

Kevin Reed, CISO de Acronis, no podría estar más de acuerdo. En su artículo de Aid Web Security, ¿Cómo puede una empresa garantizar la seguridad de su cadena de suministro?, Reed se centró específicamente en la preocupación de Merrit de asegurarse de que los proveedores de la cadena de suministro se esfuercen por cumplir con los estándares de seguridad.

Reed ofreció el siguiente consejo: Evalúe las posibles consecuencias de un proveedor comprometido. Antes de tomar la decisión de utilizar un proveedor, Reed sugiere una evaluación de riesgos completa si hay recursos disponibles. El mínimo debería, al menos, incluir la construcción de un escenario en el peor de los casos haciendo las siguientes preguntas:

  • ¿Cómo se vería afectada la empresa si los programas del proveedor se vieran comprometidos?
  • ¿Cómo se vería afectada la empresa si las bases de datos del proveedor se vieran comprometidas y el ransomware robara o congelara los datos?
  • ¿Cómo se vería afectada la empresa si los ciberataques obtuvieran acceso a la pink interna de la empresa?

Conozca al gerente de seguridad del proveedor o al CISO: Obtener información de contacto sobre el individual de ciberseguridad vital (gerentes y CISO) es obvio. «Es importante identificar el liderazgo de seguridad del proveedor porque es él quien puede responder a sus preguntas», dijo Reed. «Si un equipo de ciberseguridad no existe o no cuenta con suficiente private y no hay un liderazgo serious, es posible que desee reconsiderar la posibilidad de comprometerse con este proveedor».

Evaluar los recursos de TI del proveedor: Los responsables de la ciberseguridad deben estar dispuestos a explicar cómo se protegen los datos y los sistemas digitales de la empresa. «Solicite evidencia para verificar lo que afirma el proveedor», dijo Reed. «Los informes de pruebas de penetración son una forma útil de hacer esto. Asegúrese de que el alcance de la prueba sea apropiado y, siempre que sea posible, solicite un informe sobre dos pruebas consecutivas para verificar que el proveedor está actuando de acuerdo con sus hallazgos».

«Si el proveedor es un proveedor de software package, solicite una revisión del código fuente independiente», dijo. «En algunos casos, el proveedor puede requerir un acuerdo de confidencialidad para compartir el informe completo o puede optar por no compartirlo. Cuando esto suceda, solicite un resumen ejecutivo».

VER: Ciberseguridad: no culpe a los empleados, haga que se sientan parte de la solución (TechRepublic)

«Si el proveedor es un proveedor en la nube, puede realizar una Búsqueda de Shodan o pedirle al proveedor un informe de sus escaneos «, dijo Reed. Es posible realizar el escaneo independientemente del proveedor. Si esa es una opción, Reed sugirió obtener un permiso del proveedor y pedirles que aislen las direcciones de los clientes cuando no son relevantes.

Pregunte a los proveedores cómo priorizan el riesgo: Si la empresa realiza evaluaciones de riesgo, sus proveedores también deberían hacerlo. Una forma común de hacer esto es usar el Sistema de puntuación de vulnerabilidad común: «Un estándar de la industria libre y abierto para evaluar la gravedad de las vulnerabilidades de seguridad del sistema informático mediante la asignación de puntuaciones de gravedad a las vulnerabilidades, lo que a su vez permite a los respondedores priorizar las respuestas y los recursos de acuerdo con la amenaza».

Otra cosa a considerar, Reed sugirió mirar los registros del proveedor sobre la actualización y el parcheo de los sistemas. «El hecho de que tengan un informe demuestra su compromiso con la seguridad y la gestión de vulnerabilidades», dijo Reed. «Si es posible, intente obtener un informe elaborado por una entidad independiente».

VER: Trabajar a una distancia segura, con seguridad: el trabajo remoto en sitios industriales conlleva un riesgo cibernético adicional (TechRepublic)

Repita el proceso de verificación anualmente: la verificación constante es esencial si el proveedor proporciona materiales o servicios de misión crítica para la empresa que se suministra.

¿Qué se gana?

Al seguir las prácticas recomendadas anteriormente, Reed cree que las empresas obtendrán lo siguiente:

  • La capacidad de identificar los riesgos asociados con un proveedor en unique.
  • Comprensión de cómo el proveedor gestiona esos riesgos.
  • Evidencia sobre cómo el proveedor está mitigando esos riesgos.

«Con foundation en esta evidencia y el apetito por el riesgo, una empresa puede tomar una decisión informada para trabajar con este proveedor», dijo Reed. «Por último, a medida que realiza estas evaluaciones, busque la coherencia y busque los riesgos que cambian con el tiempo».

Mas cosas para saber

Reed es muy consciente de que no hay garantías, especialmente cuando se trata de cadenas de suministro. Además de seguir las prácticas anteriores, Reed enfatiza la necesidad de proteger el entorno digital de la empresa con un anti-malware adecuado y de llevar a cabo una formación continua en ciberseguridad con los empleados de la empresa.

Ver también



Enlace a la noticia original