La seguridad de nuestro ecosistema es nuestra seguridad
Hace más de una década tuve la oportunidad de conversar con Richard Bejtlich, uno de los grandes nombres de la seguridad. Richard ha liderado equipos de respuestas a incidentes en General Electric, FireEye y posteriormente Mandiant. Ya en los comienzos del nuevo milenio mencionaba su preocupación por la seguridad en la cadena de valor de las organizaciones. Seguridad del producto, así lo llamaba.
La cadena de incidentes relacionados con programas de software, algunos incluso con funcionalidades en ciberseguridad, que venimos sufriendo en los últimos años (RSA, SolarWinds, Microsoft, Accellion, etc.) confirma su clarividencia.
Todas las organizaciones están inmersas en un ecosistema empresarial que les proporciona servicios, productos y personas. La dependencia de nuestros proveedores ha sido si cabe más patente durante este último año pandémico.
Dr. Alberto Partida
linkedin.com/in/albertopartida
Luchar contra esas dependencias es similar a la lucha contra los molinos de nuestro don Quijote. Aislarse completamente del entorno y eliminar cualquier dependencia de él es imposible para cualquier empresa. Es, por tanto, un campo más en el que tenemos que desarrollar una estrategia inteligente de protección frente a amenazas.
Comparto en estas líneas un principio básico y tres sencillas recomendaciones que pueden ayudar, tanto a organizaciones grandes como pequeñas, a construir una “dependencia más informada” y, por tanto, a aumentar nuestra resiliencia.
El punto clave en la gestión de la cadena de valor es nuestra responsabilidad frente a todos sus elementos. Aunque externalicemos la provisión de algún servicio, somos los últimos responsables de que ese servicio alcance a nuestros clientes y a nuestros compañeros de una forma segura. Las tres siguientes ideas pueden contribuir a que ejerzamos esa responsabilidad de un modo más eficaz.
Identifica lo esencial
Estudia cómo impacta tu cadena de valor en las joyas de tu corona. Sólo podrás aspirar a gestionar el riesgo que conoces. Incluye aspectos de ciberseguridad en los procesos de selección de proveedores de tu organización. Contempla esos puntos en los contratos que firmes. Construye y mantén un inventario de todos los participantes en tu cadena de valor e incluye en él un análisis de cómo gestionan ellos sus riesgos, en especial de aquellos con un gran peso en tus procesos de negocio. Crea y crece un equipo multidisciplinar, que incluya técnicos, abogados, analistas y expertos en comunicación.
Invierte en prevención
Un equipo de seguridad dedicado a la protección de la cadena de valor es muy valioso. Sin embargo, muy pocas organizaciones tienen el músculo financiero para permitírselo. Curiosamente, el abanico de servicios de los proveedores de servicios de seguridad más populares apenas ofrece servicios especializados en la protección de la cadena de valor. Dejo aquí esta idea para potenciales emprendedores y desarrolladores de negocio.
Prepara la continuidad
La llegada de incidentes de seguridad por tu cadena de valor es inevitable. Es por tanto esencial que sepas reaccionar frente a ellos. Simula escenarios de incidentes reales y valora tu reacción y la de tu proveedor. La información pública disponible sobre los últimos incidentes que han aprovechado la cadena de valor como vector de entrada en organizaciones es una fuente única de inteligencia sobre qué respuestas frente a incidentes funcionaron.
En un mundo ideal, asocia condiciones de pago favorables a éxitos de coordinación en respuestas a incidentes. Finalmente, comprueba que las estrategias de salida para cambiar de proveedor son reales e implementables.
Aquellos en busca de inspiración sobre cómo afrontar este desafío, además de esta columna, puede visitar la colección de recursos para facilitar la gestión del riesgo en la cadena de valor que la Agencia norteamericana de Ciberseguridad y Seguridad en Infraestructuras (CISA) ha publicado en mayo de 2021.