La seguridad de nuestro ecosistema es nuestra seguridad
Hace mÔs de una década tuve la oportunidad de conversar con Richard Bejtlich, uno de los grandes nombres de la seguridad. Richard ha liderado equipos de respuestas a incidentes en General Electric, FireEye y posteriormente Mandiant. Ya en los comienzos del nuevo milenio mencionaba su preocupación por la seguridad en la cadena de valor de las organizaciones. Seguridad del producto, asà lo llamaba.
La cadena de incidentes relacionados con programas de software, algunos incluso con funcionalidades en ciberseguridad, que venimos sufriendo en los últimos años (RSA, SolarWinds, Microsoft, Accellion, etc.) confirma su clarividencia.
Todas las organizaciones estÔn inmersas en un ecosistema empresarial que les proporciona servicios, productos y personas. La dependencia de nuestros proveedores ha sido si cabe mÔs patente durante este último año pandémico.

Dr. Alberto Partida
linkedin.com/in/albertopartida
Luchar contra esas dependencias es similar a la lucha contra los molinos de nuestro don Quijote. Aislarse completamente del entorno y eliminar cualquier dependencia de él es imposible para cualquier empresa. Es, por tanto, un campo mÔs en el que tenemos que desarrollar una estrategia inteligente de protección frente a amenazas.
Comparto en estas lĆneas un principio bĆ”sico y tres sencillas recomendaciones que pueden ayudar, tanto a organizaciones grandes como pequeƱas, a construir una ādependencia mĆ”s informadaā y, por tanto, a aumentar nuestra resiliencia.
El punto clave en la gestión de la cadena de valor es nuestra responsabilidad frente a todos sus elementos. Aunque externalicemos la provisión de algún servicio, somos los últimos responsables de que ese servicio alcance a nuestros clientes y a nuestros compañeros de una forma segura. Las tres siguientes ideas pueden contribuir a que ejerzamos esa responsabilidad de un modo mÔs eficaz.
Identifica lo esencial
Estudia cómo impacta tu cadena de valor en las joyas de tu corona. Sólo podrÔs aspirar a gestionar el riesgo que conoces. Incluye aspectos de ciberseguridad en los procesos de selección de proveedores de tu organización. Contempla esos puntos en los contratos que firmes. Construye y mantén un inventario de todos los participantes en tu cadena de valor e incluye en él un anÔlisis de cómo gestionan ellos sus riesgos, en especial de aquellos con un gran peso en tus procesos de negocio. Crea y crece un equipo multidisciplinar, que incluya técnicos, abogados, analistas y expertos en comunicación.
Invierte en prevención
Un equipo de seguridad dedicado a la protección de la cadena de valor es muy valioso. Sin embargo, muy pocas organizaciones tienen el mĆŗsculo financiero para permitĆrselo. Curiosamente, el abanico de servicios de los proveedores de servicios de seguridad mĆ”s populares apenas ofrece servicios especializados en la protección de la cadena de valor. Dejo aquĆ esta idea para potenciales emprendedores y desarrolladores de negocio.
Prepara la continuidad
La llegada de incidentes de seguridad por tu cadena de valor es inevitable. Es por tanto esencial que sepas reaccionar frente a ellos. Simula escenarios de incidentes reales y valora tu reacción y la de tu proveedor. La información pública disponible sobre los últimos incidentes que han aprovechado la cadena de valor como vector de entrada en organizaciones es una fuente única de inteligencia sobre qué respuestas frente a incidentes funcionaron.
En un mundo ideal, asocia condiciones de pago favorables a éxitos de coordinación en respuestas a incidentes. Finalmente, comprueba que las estrategias de salida para cambiar de proveedor son reales e implementables.
Aquellos en busca de inspiración sobre cómo afrontar este desafĆo, ademĆ”s de esta columna, puede visitar la colección de recursos para facilitar la gestión del riesgo en la cadena de valor que la Agencia norteamericana de Ciberseguridad y Seguridad en Infraestructuras (CISA) ha publicado en mayo de 2021.