Seguro que recuerdan el personaje llamado Alegría, de la película de Disney/Pixar Inside Out (Del revés, en España, IntensaMente, en Latinoamérica). Entrañable, positiva y con la energía y grandes expectativas de un CISO que presenta su plan estratégico. Alegría quiere que todo salga bien y que su cliente (perdón, la niña Riley) esté alegre y feliz el cien por cien del tiempo. Y toma el mando de todo para conseguirlo.
Sin embargo, por mucho que lo intenta, Alegría no puede controlar todas las emociones. Se esfuerza en planificar, imponer, corregir y excluir todo lo que no sea “positivo”, pero la realidad se impone. Descubre que necesita a Tristeza, a Miedo, a Asco y a Ira. Solo cuando deja de imponerse y empieza a colaborar, las cosas comienzan a funcionar mejor.
En cierta forma, a Alegría le ocurre lo mismo que a muchas organizaciones con su cadena de suministro.
No es posible controlar la cadena de suministro, solo gestionar su riesgo y aceptar un nivel económicamente viable
Mitos y realidades de tu cadena de suministro
Las empresas suelen hablar con soltura de “la cadena de suministro” como si fuera algo estructurado, lineal, estable. Casi elegante. Pero esa idea es sólo una simplificación. En realidad, cada empresa tiene su cadena de suministradores: única, caótica, dinámica, volátil, multinivel.
Por ello, las organizaciones tienen problemas para progresar en el conocimiento (y control) de su cadena de suministros más allá de los proveedores directos. A partir de ese punto, se diluye su capacidad de control. Solo puede asumir que los mecanismos de control se están trasladando de nivel en nivel de suministradores, sea como requisito contractual o con otras herramientas.
Pero cuando algún suministrador en nivel N no es diligente, se pierde visibilidad de los suministradores que dependen de él. Además, ocurre que los propios procesos de la organización incorporan servicios de terceros que no contratan, pero de los que dependen (como se descubrió con Mitre). Y también hay entidades en la propia organización que, deliberadamente o por error, contratan mediante procedimientos no esperados y quedan también fuera de la cadena.
Todos estos elementos generan su shadow supply-chain, que existe, no se conoce y no se puede controlar preventivamente. Por ejemplo, ¿quién da soporte al software del proveedor de Recursos Humanos? ¿Dónde están alojados los backups? ¿Quién mantiene el módulo de firma electrónica? ¿Se podría considerar que el repartidor de zumos de la cafetería de enfrente de nuestras oficinas es una amenaza? No se sabe. No se puede saber. Intentar saberlo es costosísimo y, en mayor o menor medida, son parte de su cadena de suministro. En realidad, no estamos ante errores técnicos, sino ante deficiencias del modelo de cadena de suministro utilizado.
No es posible controlar la cadena de suministro. Solo podemos gestionar su riesgo y aceptar un nivel económicamente viable.
Miembros de una red de suministradores
No solo se trata de la gestión interna. Las organizaciones no suelen valorar que tienen clientes y, por ello, forman parte de cadenas de suministro. Tantas cadenas como clientes tienen. Por ello, estos clientes (y a su vez, sus clientes) dependen de la organización y se benefician de las buenas y malas prácticas de ciberseguridad implantadas.
Incluso, pudiera ocurrir que algunos de los clientes de una empresa sean también suministradores de la misma. Se establecen así relaciones circulares de dependencia entre las organizaciones que se comportan alternativamente como suministrador o cliente en distintos momentos. Y así, una organización puede tenerse a sí misma en su cadena de suministro. Muy loco todo, ¿verdad? ¿Cómo gestionarlo?
Aquí es cuando fallan las estrategias de gestión top-down, tradicionalmente aplicadas en cadena de suministro, donde el cliente (top) impone condiciones hacia sus proveedores (down). Funcionan hasta que la organización se identifica dentro de las cadenas de varios clientes y debe aplicar simultáneamente varios modelos de controles. Es, como poco, muy complejo y costoso. Y se complica exponencialmente cuando se activan los mecanismos de verificación o auditoría. ¿Podría ocurrir que el cliente pidiera información a su cadena de suministro y, como consecuencia, tuviera que facilitar su propia información para satisfacer esta petición? Teóricamente, podría ocurrir. Pero suena demencial.
Estos elementos apuntan a un fallo del modelo de cadena de suministro. La cadena de suministro no existe. Existe la red de suministro que alcanza a todo un mercado y donde cada actor puede identificar su cadena de suministro propia, con sus dependencias lineales y circulares.
Respuestas efectivas para el riesgo de la red de suministro
En una red de suministro, el riesgo debe gestionarse conjuntamente en colaboración con el resto de actores, no mediante la imposición del cliente al suministrador. Sí, con la creación de relaciones de confianza entre los actores de la red, que colaboran con transparencia para mantener y fortalecer esta confianza.
Las herramientas necesarias pueden ser variadas, pero deben partir de un fundamento común: el suministrador no debe ser visto como un peligro, un probable culpable de problemas de seguridad de la organización y sospechoso por defecto de ser una fuente de defectos, inseguridades y peligros. Un actor al que se le requiere que proporcione niveles de protección más elevados que los que dispone su cliente (situación más que frecuente), mientras que se le exige imperiosamente una reducción de costes y de precios (en ocasiones a costa de los recursos para la ciberseguridad del propio suministro que, por supuesto, no puede disminuir).
Por el contrario, el suministrador va a participar en el proceso de su cliente y quizás sea más práctico asistirle, como también se asisten a las áreas de una organización con menor grado de madurez en ciberseguridad.
Esta estrategia es posible y funciona. Necesita herramientas, marcos, tiempo y confianza. Con herramientas disponibles, algunas más evidentes y otras menos obvias, pero más necesarias. Se mejora la capacidad auditora, se puede generar y transmitir confianza en su cadena, se identifican y gestionan riesgos. El reto ya no es tener el control, sino conseguir confianza en un entorno incontrolable.
Como le pasó a Alegría, la gestión de suministradores comienza a funciona al dejar de imponer y empezar a confiar.
