La seguridad de nuestro ecosistema es nuestra seguridad
Hace mĆ”s de una dĆ©cada tuve la oportunidad de conversar con Richard Bejtlich, uno de los grandes nombres de la seguridad. Richard ha liderado equipos de respuestas a incidentes en General Electric, FireEye y posteriormente Mandiant. Ya en los comienzos del nuevo milenio mencionaba su preocupaciĆ³n por la seguridad en la cadena de valor de las organizaciones. Seguridad del producto, asĆ lo llamaba.
La cadena de incidentes relacionados con programas de software, algunos incluso con funcionalidades en ciberseguridad, que venimos sufriendo en los Ćŗltimos aƱos (RSA, SolarWinds, Microsoft, Accellion, etc.) confirma su clarividencia.
Todas las organizaciones estĆ”n inmersas en un ecosistema empresarial que les proporciona servicios, productos y personas. La dependencia de nuestros proveedores ha sido si cabe mĆ”s patente durante este Ćŗltimo aƱo pandĆ©mico.
Dr. Alberto Partida
linkedin.com/in/albertopartida
Luchar contra esas dependencias es similar a la lucha contra los molinos de nuestro don Quijote. Aislarse completamente del entorno y eliminar cualquier dependencia de Ć©l es imposible para cualquier empresa. Es, por tanto, un campo mĆ”s en el que tenemos que desarrollar una estrategia inteligente de protecciĆ³n frente a amenazas.
Comparto en estas lĆneas un principio bĆ”sico y tres sencillas recomendaciones que pueden ayudar, tanto a organizaciones grandes como pequeƱas, a construir una ādependencia mĆ”s informadaā y, por tanto, a aumentar nuestra resiliencia.
El punto clave en la gestiĆ³n de la cadena de valor es nuestra responsabilidad frente a todos sus elementos. Aunque externalicemos la provisiĆ³n de algĆŗn servicio, somos los Ćŗltimos responsables de que ese servicio alcance a nuestros clientes y a nuestros compaƱeros de una forma segura. Las tres siguientes ideas pueden contribuir a que ejerzamos esa responsabilidad de un modo mĆ”s eficaz.
Identifica lo esencial
Estudia cĆ³mo impacta tu cadena de valor en las joyas de tu corona. SĆ³lo podrĆ”s aspirar a gestionar el riesgo que conoces. Incluye aspectos de ciberseguridad en los procesos de selecciĆ³n de proveedores de tu organizaciĆ³n. Contempla esos puntos en los contratos que firmes. Construye y mantĆ©n un inventario de todos los participantes en tu cadena de valor e incluye en Ć©l un anĆ”lisis de cĆ³mo gestionan ellos sus riesgos, en especial de aquellos con un gran peso en tus procesos de negocio. Crea y crece un equipo multidisciplinar, que incluya tĆ©cnicos, abogados, analistas y expertos en comunicaciĆ³n.
Invierte en prevenciĆ³n
Un equipo de seguridad dedicado a la protecciĆ³n de la cadena de valor es muy valioso. Sin embargo, muy pocas organizaciones tienen el mĆŗsculo financiero para permitĆrselo. Curiosamente, el abanico de servicios de los proveedores de servicios de seguridad mĆ”s populares apenas ofrece servicios especializados en la protecciĆ³n de la cadena de valor. Dejo aquĆ esta idea para potenciales emprendedores y desarrolladores de negocio.
Prepara la continuidad
La llegada de incidentes de seguridad por tu cadena de valor es inevitable. Es por tanto esencial que sepas reaccionar frente a ellos. Simula escenarios de incidentes reales y valora tu reacciĆ³n y la de tu proveedor. La informaciĆ³n pĆŗblica disponible sobre los Ćŗltimos incidentes que han aprovechado la cadena de valor como vector de entrada en organizaciones es una fuente Ćŗnica de inteligencia sobre quĆ© respuestas frente a incidentes funcionaron.
En un mundo ideal, asocia condiciones de pago favorables a Ć©xitos de coordinaciĆ³n en respuestas a incidentes. Finalmente, comprueba que las estrategias de salida para cambiar de proveedor son reales e implementables.
Aquellos en busca de inspiraciĆ³n sobre cĆ³mo afrontar este desafĆo, ademĆ”s de esta columna, puede visitar la colecciĆ³n de recursos para facilitar la gestiĆ³n del riesgo en la cadena de valor que la Agencia norteamericana de Ciberseguridad y Seguridad en Infraestructuras (CISA) ha publicado en mayo de 2021.
