Con el objetivo de mostrar la importancia de la ciberseguridad en la gestión de los proveedores, Leet Security organizó la jornada Retos de Seguridad en la Cadena de Valor. El evento reunió a casi un centenar de personas de forma física y virtual. Además, contó con la presencia de representantes del Departamento de Seguridad Nacional, INCIBE y Banco de España, entre otras empresas. De hecho, fue una oportunidad única para debatir sobre la importancia que la ciberseguridad de la cadena de valor tiene en la continuidad del negocio. También para hablar sobre la normativa presente y futura; y conocer los resultados del cuarto estudio La seguridad de la cadena de valor: necesidad y obligación de la compañía.
Tras la presentación de la jornada por parte de Antonio Ramos, CEO de LEET Security, tomó la palabra Ignacio Babé, director general del Club Excelencia en Gestión. El directivo habló sobre los tiempos de incertidumbre en los que vivimos. “Lo que conocíamos como entornos VUCA ya no parece encajar en esta situación y han surgido los entornos BANI, un nuevo método para comprender el panorama general”. Se trata del acrónimo de Brittle (quebradizo), Anxious (ansioso), Non-linear (no lineal) e Incomprehensible (incomprensible). En este contexto, según explicó Babé, resulta imprescindible no solo “conocer bien a la organización”, sino también “los riesgos más importantes a los que se enfrentan”, entre los que se incluyen los que tienen que ver con la tecnología y la cadena de suministro.
Iniciativas institucionales y la cadena de valor
Precisamente, para hacer frente a estos retos, la UE está poniendo en marcha una serie de iniciativas relacionadas con la seguridad de la cadena de suministro. Elena de la Calle, consejera técnica del Departamento de Seguridad Nacional, hizo un repaso de todas ellas.
- La reforma de la directiva NIS de 2016 y su sustitución por NIS 2, “que probablemente se publicará antes de final de año y una de sus novedades más importantes es la seguridad de la cadena de suministro”, explicó.
- Revisión de la legislación de infraestructuras críticas mediante la aprobación de la directiva de resiliencia de entidades críticas, “donde también se menciona a la cadena de suministro”, apuntó.
- Reforzamiento de la resiliencia operativa digital del sector financiero a través del Reglamento DORA (Digital Operational Resilience Act).
- Aseguramiento de las redes móviles a partir del 5G, “la columna vertebral donde se apoyarán los servicios esenciales de la UE”, comentó. La UE ha hecho recomendaciones al respecto para los Estados miembro, en las que hay referencia a la cadena de suministro.
- Aseguramiento del Internet de las Cosas mediante la Ley Europea de Ciberresiliencia. “Esta normativa pretende poner obligaciones a los fabricantes en todo el ciclo de vida, desde diseño hasta el final vida útil”, explicó.
Con todo ello, queda de manifiesto la importancia que este concepto tiene ya para las instituciones europeas. Sin ir más lejos, la Agencia Europa de Ciberseguridad (ENISA) ya cuenta con un informe anual sobre los ataques a la cadena de suministro como una de las principales amenazas a las que nos enfrentamos.
El reglamento DORA y el estudio
Seguidamente, tomó la palabra Silvia Senabre, experta TIC de la Dirección General de Supervisión del Banco de España. En su intervención habló sobre el tratamiento de los riesgos de terceros en el Reglamento DORA. Hay que recordar que esta normativa que se está tramitando actualmente afecta a todo el sector financiero europeo. Hace hincapié en la resiliencia de esta industria para que una organización financiera continúe prestando servicios pase lo que pase. “En él, hay un capítulo dedicado a los terceros que dan servicio al sector y la referencia aparece en todo el texto”, afirmó Senabre. Además, “reconoce que hay proveedores tecnológicos que son críticos para todo el sector, de tal forma que si fallan ellos, lo hace el sector. A esos proveedores se les va a someter a vigilancia común en todos los Estados miembro. Es algo de lo que no hay precedente”, comentó.
Alfonso Pastor, partner de LEET Security, fue el encargado de presentar las conclusiones del estudio La seguridad de la cadena de valor: necesidad y obligación. En él se analizan varios aspectos relacionados con la ciberseguridad. Por ejemplo, los encuestados cada vez tienen una mayor percepción del riesgo en sus empresas (58%), que aumenta cada año. Para mitigarlo, han incrementado sus inversiones (66%).
Paralelamente, “se está produciendo una evolución de los ciberataques”, explicó. “Cada vez los encuestados son más conscientes de que el punto de origen de los ataques está fuera de sus sistemas. Así opina el 60%, y el resto considera que ha tenido lugar en proveedores”, afirmó. Y a la hora de considerar sus preocupaciones de seguridad más relevantes, menos de un 20% tienen entre ellas a la seguridad de los proveedores. Es más, un 15% asegura no hace nada a la hora de evaluar a los proveedores. Y quienes sí hacen esa evaluación, se apoyan sobre todo en el envío de cuestionarios (63%), solicitud de certificaciones (48%) y de documentación (48%).
Finalmente, Pastor dio una serie de recomendaciones a las empresas en este sentido:
- Involucrar a todos los actores de la organización.
- Diseñar un proceso holístico.
- Integrar la ciberseguridad como otro riesgo más en el proceso de aprovisionamiento.
- Identificar y caracterizar el inventario de servicios de terceros.
- Confiar en los proveedores, pero hasta cierto punto.
Mesa Redonda
El siguiente panel de la jornada fue la celebración de una mesa redonda moderada por Ramos, de Leet Security. En ella se contó con la presencia de Antonio Navas, Security & Resiliency Practice Leader de Kyndryl Iberia; Carlos López, presidente del Patronato de la Fundación ESYS; Fátima Ballesteros, directora de Proyectos de Ciberseguridad en Trescore Proyectos; y Jacinto Muñoz, director de Riesgos y Gobierno de Seguridad y Medio Ambiente de Mapfre. Todos ellos pusieron de manifiesto la importancia que actualmente tiene la ciberseguridad en la cadena de suministro.
En este sentido, Muñoz recomendó “no incorporar la seguridad de los proveedores a las empresas como un elemento extraño; sino en cada proceso como un elemento más”, explicó.
Por su parte, Ballesteros incidió en el cambio que se está produciendo de proveedor a partner. “En servicios críticos, la cadena de valor tiene que estar alienada con la visión de la seguridad y del negocio para hacer realidad lo que se quiere conseguir. Ambos deben ir juntos de la mano”, afirmó.
Es algo que, por su papel de proveedor de servicios tecnológicos, tienen muy en cuenta en Kyndryl, según apuntó Navas. “La seguridad de la cadena de suministro tiene que estar integrada en todo el ciclo de vida del producto o servicio y de la relación con el cliente. De ahí que sea de vital importancia la gestión integral de riesgos a la hora de seleccionar a un proveedor”, aseguró.
Y cada vez va a ser más fundamental, habida cuenta de que hay varios elementos que presionan sobre la cadena de suministro para que así sea. “El perímetro del riesgo, que se ensancha; la creciente sofisticación de los ataques; y el tsunami regulatorio que viene”, en palabras de López.
Ponencia final
Para finalizar la jornada intervino Félix Barrio, director general de INCIBE. En su charla, el directivo remarcó el periodo de incertidumbre en el que nos encontramos. “Tenemos, por tanto, la necesidad de acelerar la incorporación de la ciberseguridad en la cadena de valor. De hecho, el año que viene va a ser más importante que nunca en nuestras estrategias nacionales de ciberseguridad”. Y concluyó: “La transformación sienta las bases de las capacidades para prepararnos para lo que viene, y hay que estar todos alineados para conseguirlo”.
Archivado en:
