En un mundo digital cada vez más interconectado, los riesgos en la cadena de suministro han adquirido un papel crucial en la ciberseguridad empresarial. La exposición a amenazas a través de terceros exige estrategias de protección más rigurosas y marcos regulatorios sólidos. En este artículo, la alumna del Máster Profesional de Analista de Inteligencia de LISA Institute, Raquel Ibáñez, analiza cómo normativas como NIS2, ISO 27001 y DORA buscan mitigar estos riesgos y fortalecer la resiliencia operativa.
En 2024, los ciberataques a la cadena de suministro aumentaron un 60% con respecto a 2023, evidenciando la vulnerabilidad de los ecosistemas digitales interdependientes. Este crecimiento alarmante subraya la necesidad de adoptar marcos regulatorios y normativos sólidos.
Los ataques a la cadena de suministro pueden tener consecuencias devastadoras, desde la interrupción de servicios críticos hasta la exposición de datos sensibles. En España, compañías como Iberdrola y Santander han sido blanco de estos ataques. Esto ha puesto en riesgo la integridad de sus operaciones y la seguridad de sus datos.
➡️ Te puede interesar: Los grupos cibercriminales detrás de los eventos geopolíticos de 2024: de Rusia a Corea del Norte
En este contexto, la implementación de buenas prácticas de gestión de riesgos de terceros es fundamental. Además, el cumplimiento de regulaciones específicas se ha convertido en un factor clave para la seguridad empresarial.
¿Qué es la cadena de suministro?
La cadena de suministro incluye todas las organizaciones, individuos, recursos físicos y de software, tecnologías y actividades involucrados en la creación de un producto. Por su parte, la seguridad de la cadena de suministro se centra en identificar y gestionar los riesgos de seguridad asociados con proveedores externos, transporte y logística.
El objetivo de la seguridad de la cadena de suministro es identificar, evaluar y mitigar los riesgos que surgen al trabajar con terceros en la cadena de suministro. Incluye tanto aspectos de seguridad digital como física de software, servicios y productos.
La cadena de suministro representa una de las superficies de ataque más críticas en ciberseguridad. A los atacantes les resulta más sencillo comprometer a un proveedor con medidas de seguridad, laxas que atacar directamente a un objetivo principal altamente protegido. Casos como el ciberataque a SolarWinds, el incidente de Kaseya y la explotación de Log4j demuestran el potencial devastador de estas brechas.
Para abordar la ciberseguridad de la cadena de suministro, las organizaciones deben ser conscientes de los riesgos que implica. Esta representa una superficie adicional de exposición a vulnerabilidades que podrían ser explotadas. Cualquier tecnología, software, dato o relación con proveedores externos genera riesgos adicionales. Esto forma parte del proceso de gestión de riesgos de terceros.
¿Qué es la gestión de riesgos de terceros (TPRM) en la cadena de suministro y cuáles son sus objetivos?
Un tercero es cualquier entidad que trabaja con una organización. Esto incluye proveedores, fabricantes, socios comerciales, agentes, revendedores y distribuidores. Todo tercero es un posible vector de ataque que pueda resultar en un perjuicio para la organización. Si un proveedor presenta alguna vulnerabilidad, esta podría ser explotada por un ciberatacante para acceder a la organización.
➡️ Te puede interesar: ¿Cómo la inteligencia artificial está transformando la ciberseguridad?
La gestión de riesgos de terceros o TPRM (Third Party Risk Management) es el proceso de identificar, evaluar y controlar los riesgos que surgen asociados con la subcontratación de proveedores o servicios de terceros a lo largo de todo su ciclo, incluyendo la adquisición y la desvinculación. TPRM emplea políticas y sistemas para garantizar que los terceros:
- Cumplan con las regulaciones.
- Eviten prácticas poco éticas.
- Protejan la información confidencial.
- Fortalezcan la seguridad de la cadena de suministro.
- Mantengan un entorno de trabajo saludable y seguro.
- Gestionen las interrupciones de manera efectiva.
- Logren altos niveles de rendimiento y calidad.
Riesgos asociados a terceros
- Riesgo de ciberseguridad: La organización puede sufrir un ciberataque a través de un tercero comprometido, lo que podría derivar en la exposición de información o la pérdida de datos.
- Riesgo estratégico: Cambios en el mercado, adquisiciones, fusiones o expectativas de los clientes pueden afectar la alineación estratégica de los participantes en la cadena de suministro.
- Riesgo operacional: Si un tercero suministra un componente crítico del sistema y se ve afectado por un desastre natural, un conflicto político o un ciberataque, la continuidad del negocio podría verse comprometida.
- Riesgo financiero: Una mala gestión de la cadena de suministro puede generar riesgos financieros si un tercero no evalúa correctamente la demanda de sus productos.
- Riesgo de cumplimiento: un tercero puede afectar el cumplimiento de la organización con regulaciones, acuerdos o legislación. La empresa es la responsable final del cumplimiento con la legislación y los estándares, aun cuando deleguen esas actividades a terceros.
- Riesgo reputacional: un tercero puede introducir riesgos como las violaciones de datos. Esto afecta negativamente a la confianza de los clientes y a la imagen de la empresa.
- Riesgo geopolítico: las tensiones políticas pueden dificultar la relación con un proveedor o motivar a la empresa a buscar alternativas en otras regiones.
- Riesgo para la continuidad de negocio: la interrupción en la cadena de suministro debido a fallos de un proveedor puede afectar la producción y el servicio al cliente, lo que puede resultar en pérdidas financieras y de reputación.
Debido a la importancia de los riesgos asociados a la relación con terceros, es fundamental adoptar marcos regulatorios y normativos. Entre ellos, la directiva NIS2, el estándar ISO 27001 y el reglamento DORA, diseñados para fortalecer la resiliencia operativa y mitigar los riesgos derivados de proveedores y socios tecnológicos.
NIS2 y la gestión de riesgos en la cadena de suministro
El Consejo de Ministros aprobó el 14 de enero el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Una vez aprobada de manera definitiva, esta ley incorporará al ordenamiento jurídico español la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, conocida como NIS2.
La Directiva de Seguridad de Redes y Sistemas de Información (The Network and Information Security Directive o NIS2) tiene como objetivo mejorar la seguridad de redes y sistemas de información en sectores críticos. Estos sectores prestan servicios esenciales, cuya resiliencia cibernética es clave para evitar interrupciones con graves impactos económicos y sociales.
➡️ Te puede interesar: Curso de Experto en Ciberinteligencia
NIS2 busca establecer una estrategia común para elevar los niveles de ciberseguridad y fortalecer la infraestructura digital de los Estados miembros de la Unión Europea. También abarca a las empresas que operan en la región, incluyendo no solo grandes corporaciones, sino también pequeñas y medianas organizaciones que prestan servicios esenciales y críticos.
Entre las medidas obligatorias que contempla NIS2 se incluyen la seguridad de la cadena de suministro, el análisis de riesgos de proveedores directos y proveedores de servicios, y la implementación de planes para mitigar vulnerabilidades en los proveedores. Además, regula otros aspectos relacionados con la seguridad en las relaciones entre la organización y sus socios tecnológicos.
En esta línea, NIS2 promueve la imposición de acuerdos contractuales para garantizar el cumplimiento de normas de ciberseguridad. También recomienda la realización de auditorías de seguridad sobre los productos y el impulso de prácticas de desarrollo seguras en toda la cadena de suministro.
Requisitos de TPRM en ISO/IEC 27001
La norma ISO 27001 es un estándar internacional que define los requisitos para implementar, mantener y mejorar de forma continua un Sistema de Gestión de la Seguridad de la Información (SGSI).
Este sistema se despliega para proteger la confidencialidad, integridad y disponibilidad de la información.
La ISO 27001 recoge en una serie de controles de riesgo de terceros
- A.5.19 Seguridad de la información en relaciones con proveedores: las organizaciones deben establecer e implementar procesos y procedimientos para gestionar los riesgos de terceros asociados con el uso de productos y servicios de proveedores.
- A.5.20 Seguridad en acuerdos con proveedores: este control exige que las organizaciones establezcan requisitos de seguridad de la información dentro de los acuerdos con proveedores, basados en el tipo de proveedor con el que se está tratando.
- A.5.21 Cadena de suministro de tecnología de la información y comunicación (TIC): los acuerdos con proveedores de servicios TIC deben incluir requisitos para abordar riesgos relevantes de seguridad de la información. Este control requiere la realización de evaluaciones de riesgos y el establecimiento de monitoreo continuo de amenazas cibernéticas.
- A.5.22 Monitoreo, revisión y gestión de cambios en los servicios de proveedores: exige la supervisión, revisión y auditoría periódica de los servicios de los proveedores, así como la gestión de cualquier cambio en la provisión de servicios.
➡️ Te puede interesar: ¿Puede la comunidad internacional sancionar los ciberataques?
DORA y su impacto en la cadena de suministro del sector financiero
El reglamento DORA (Digital Operational Resilience Act) es una normativa de la Unión Europea cuyo objetivo es mejorar la resiliencia operativa y la ciberseguridad en el sector financiero. Se enfoca específicamente en los riesgos asociados a las tecnologías de la información y la comunicación (TIC).
DORA reconoce que los incidentes de ciberseguridad y la falta de resiliencia operativa pueden poner en peligro todo el sistema financiero.
Para gestionar estos riesgos, el reglamento establece una serie de requisitos y obligaciones en materia de TIC. Entre ellos se incluyen la notificación de incidentes, la creación de acuerdos para el intercambio de ciberamenazas, la realización de pruebas de resiliencia operativa y la monitorización del riesgo en la cadena de suministro de las entidades financieras.
En cuanto a la gestión de riesgos de terceros, DORA exige que las instituciones financieras adopten un papel activo. Esto implica establecer acuerdos contractuales específicos y mapear las dependencias dentro de la cadena de suministro. Los proveedores de servicios TIC críticos del sector financiero también estarán sujetos a supervisión directa y deben cumplir con los requisitos establecidos en DORA.
Estrategias para una gestión efectiva de riesgos de terceros en la cadena de suministro
Una estrategia integral de gestión de riesgos en la cadena de suministro es crucial para garantizar la resiliencia y la capacidad de respuesta de una organización, reduciendo así los riesgos asociados.
Para gestionar estos riesgos se pueden adoptar las siguientes estrategias:
Mapeo del ecosistema de terceros y debida diligencia:
Para gestionar los riesgos de terceros, primero se debe mapear la cadena de suministro y conocer qué empresas tienen acceso a datos sensibles o sistemas críticos. Es fundamental mantener un inventario actualizado de proveedores para evaluar riesgos, garantizar cumplimiento y solucionar vulnerabilidades.
La diligencia debida es una evaluación exhaustiva que garantiza la detección de vulnerabilidades o señales de alerta antes de incorporar a un tercero al ecosistema empresarial y decidir si es adecuada su inclusión y qué medidas tomar para mitigar los riesgos.
Identificación de riesgos:
Detectar y enumerar todos los riesgos que podrían impactar en la cadena de suministro.
Evaluación del riesgo:
Implica identificar posibles vulnerabilidades, su probabilidad de ocurrencia y el impacto que podrían tener en la organización. Se consideran factores como protocolos de seguridad del proveedor, estabilidad financiera, resiliencia, exposición geopolítica y nivel de acceso a datos sensibles.
En esta fase, se examinan en detalle los controles de seguridad, medidas de protección de datos y cumplimiento normativo del tercero, con el fin de cuantificar el impacto potencial en los datos, reputación y operaciones de la organización.
➡️ Te puede interesar: 🎧 Código LISA – Los mayores ciberataques en la historia de la Ciberseguridad
Priorización y categorización del riesgo:
La categorización de riesgos permite enfocar recursos en amenazas más críticas. Se toman en cuenta la sensibilidad de los datos accesibles por cada proveedor, su postura de seguridad y la criticidad de sus servicios para la continuidad del negocio. Los proveedores de alto riesgo requieren medidas de mitigación más estrictas.
Remediación y mitigación de los riesgos de terceros. Una vez que se tiene un panorama claro del riesgo de terceros, el siguiente paso es tomar medidas para resolver o reducir los riesgos detectados.
- Remediación: Consiste en abordar activamente los problemas identificados mediante ajustes en los controles de seguridad, políticas operativas y cierre de brechas operativas.
- Mitigación: Implica minimizar el impacto potencial de los riesgos que no pueden eliminarse por completo. Esto puede incluir reforzar las obligaciones contractuales de los terceros, agregar controles adicionales o desarrollar planes de contingencia.
Monitorización continua
Es necesario establecer una monitorización continua para supervisar de manera permanente las relaciones con los proveedores. Este proceso permite evaluar su desempeño y sus prácticas de seguridad, asegurando el cumplimiento de las políticas internas y los requisitos regulatorios.
La monitorización puede incluir auditorías regulares y herramientas automatizadas que detectan cambios en la postura de seguridad, estabilidad financiera o estado de cumplimiento normativo del proveedor. Estas herramientas generan alertas que permiten identificar y abordar rápidamente nuevos riesgos o amenazas emergentes, ayudando a tomar decisiones informadas sobre renovaciones o ajustes contractuales.
El auge de los ciberataques a la cadena de suministro
Estamos viviendo un aumento claro de los ataques a la cadena de suministro y de las brechas de seguridad que utilizan como vectores un tercero comprometido. En 2024 vivimos ciberataques importantes a la cadena de suministro digital, como los incidentes en Polyfill.io y Discord, brechas en terceros como el caso de Cisco Duo, y errores operativos que impactaron negocios, como el incidente entre Microsoft y CrowdStrike.
El crecimiento de los dispositivos IoT y la expansión de las cadenas de suministro han incrementado la superficie de ataque. Las cadenas de suministro se vuelven cada vez más complejas y los riesgos vinculados a terceros aumentan. Es fundamental que las organizaciones evalúen los riesgos vinculados a cada proveedor y la sensibilidad de los datos que comparten.
➡️ Te puede interesar: Ciberseguridad para contrarrestar ataques externos en la red
La tendencia para el futuro indica una mayor sofisticación y complejidad de las cadenas de suministro. La irrupción de la inteligencia artificial y el aumento de la utilización de servicios en nube o cloud constituyen un desafío de cara al control de los riesgos de terceros para las organizaciones.
El panorama actual de guerra híbrida está provocando un aumento de los ciberataques entre países y bloques contendientes. En paralelo, las regulaciones de cumplimiento que abordan los riesgos de terceros están en aumento. Esta tendencia continuará con la llegada de nuevas normativas, como la regulación sobre el uso de la inteligencia artificial en la Unión Europea.
La seguridad de la cadena de suministro y la gestión de riesgos de terceros son elementos esenciales en el mundo hiperconectado en el que vivimos. Con la llegada de NIS2, DORA e ISO 27001, las organizaciones deben adoptar un enfoque estructurado y riguroso para garantizar la resiliencia digital, minimizar los riesgos derivados de terceros y asegurar el funcionamiento de la cadena de suministro.
➡️ Si quieres ser un experto en Estados Unidos y Ciberseguridad, te recomendamos el siguiente curso formativo:
