En febrero de 2014, uno de los mayores minoristas de descuento en los Estados Unidos, Target Corporation, informó una violación de datos dentro de su sistema de red que causó la filtración de información financiera y personal de 110 millones de clientes. Target dijo a los periodistas que la intrusión inicial en su sistema se remonta a las credenciales de red que fueron robadas de un proveedor externo.¹ Una investigación lanzada por el Servicio Secreto de los Estados Unidos descubrió que los atacantes irrumpieron por primera vez en la red del minorista ese noviembre anterior.

Los hackers usaron credenciales de red para obtener acceso a la red de Target, robado de los Servicios Mecánicos de Fazio, al momento el proveedor de Target para calefacción, ventilación y aire acondicionado (HVAC) y sistemas de refrigeración. De acuerdo con un informe del Senado de los EE. UU., “El vendedor no parecía seguir ampliamente prácticas de seguridad de la información aceptadas”,² permitiendo así que los atacantes comprometan la red de Target. Varias fuentes han afirmado que el costo total de la violación es de US $252 millones y contando. Con un monto compensatorio de US $90 millones en ingresos de seguros, el gasto neto total es de US $162 millones.³

Tanto Target como Fazio Mechanical Services declararon que sus sistemas de TI y medidas de seguridad cumplían totalmente con las prácticas de la industria, señalando que Target cumplía con el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) en el momento del ataque. Este reclamo generó múltiples preocupaciones con respecto a la arquitectura de seguridad, el diseño y los esfuerzos de mitigación de Target. Por ejemplo, surgieron dos preocupaciones de seguridad. Primero, ¿por qué Target proporcionó a una empresa de HVAC con credenciales a la red corporativa? En segundo lugar, ¿por qué Target le dio acceso a la empresa HVAC a una red que no estaba segregada de su red de sistemas de pago?

Tras el incumplimiento de Target, la amenaza de ataques cibernéticos utilizando la cadena de suministro de una empresa como un vector de entrega se ha convertido en una preocupación común dentro de la comunidad de seguridad de la información. Esto ha llevado a un aumento significativo en los artículos que investigan y analizan las amenazas cibernéticas de la cadena de suministro. Desafortunadamente, las estadísticas muestran que cualquier tipo de evaluación de proveedores todavía no se usa ampliamente entre las empresas. Por ejemplo, una encuesta sobre delitos cibernéticos publicada en 2014 por la consultora PricewaterhouseCoopers (PwC) muestra que solo el 53 por ciento de las empresas en 2013 tuvieron un proceso para evaluar a terceros proveedores. Sorprendentemente, el número cayó al 50 por ciento el año siguiente.⁴ Aunque han pasado años desde que se publicaron las estadísticas, es poco probable que el número haya cambiado drásticamente.

La creciente amenaza llevó a la publicación de un marco por parte del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU., que se actualizó en 2017.^{5, 6} Según NIST, cualquier organización debe identificar, priorizar y evaluar proveedores y socios de sistemas de información críticos, componentes y servicios que utilizan un proceso de evaluación de riesgos de la cadena de suministro cibernético. Además, en 2017, el Departamento de Servicios Financieros del Estado de Nueva York publicó la regulación 23 NYCRR 500^{7, 8} que es aplicable a las entidades que operan bajo la ley de servicios bancarios, de seguros o financieros en el estado de Nueva York. La nueva regulación instruye a dichas empresas a implementar políticas y procedimientos rigurosos de gestión de riesgos de ciberseguridad de terceros a lo largo de todo el ciclo de vida de su relación con terceros.

Sin embargo, el marco para una evaluación de ciberriesgo de un proveedor aún no cuenta con un proceso importante. En este sentido, es necesario un método de puntuación para definir a los proveedores que imponen la mayor amenaza cibernética a una empresa. La metodología en esta materia ciertamente ha mostrado un fuerte desarrollo en los últimos años, por ejemplo, la demanda para la práctica de monitoreo y respuesta a la gestión de riesgos de la cadena de suministro cibernético (SCRM).⁹ Sin embargo, la evaluación de riesgos debería incluir primero un análisis teórico basado en un método de puntuación para definir a los proveedores de alto riesgo. Este artículo ofrece un método de puntuación para ayudar a los gerentes de seguridad de la información a protegerse contra los ataques cibernéticos de la cadena de suministro.

Es importante enfatizar que un ciberriesgo de la cadena de suministro puede ser impuesto por un adversario o por una amenaza interna. Además, cualquier amenaza cibernética a través de una cadena de suministro intrínsecamente significa que el proveedor ha sido pirateado.

Paso 1: Identificar los activos

Un proceso adecuado de evaluación de riesgos comienza con la identificación de los activos esenciales que contienen la información crítica de la empresa. Este paso es necesario antes de que tenga lugar cualquier proceso de mapeo. Una vez que los activos han sido mapeados, es importante determinar qué activos son vulnerables a los ataques cibernéticos a través de las cadenas de suministro y clasificarlos según el riesgo y la prioridad del negocio. Una vez finalizado, este proceso debe documentarse adecuadamente y ser aprobado por los altos ejecutivos.

Paso 2: Identificar a los enemigos

Como se mencionó anteriormente, los factores de riesgo de la cadena de suministro se caracterizan por los vectores de entrega que un atacante puede usar para hackear una red. Por lo general, estos ataques no se detectan porque los factores de riesgo de la cadena de suministro son a menudo pasados por alto. El desafío es equilibrar el enfoque entre los posibles vectores de entrega y los factores de riesgo de la cadena de suministro.

El primer paso para identificar a los enemigos es considerar las principales amenazas cibernéticas que las cadenas de suministro representan para una empresa, como, por ejemplo:

• Acceso remoto no autorizado/derivación de autenticación—También conocido como control de acceso no autorizado, este es el robo de las credenciales de un proveedor que otorga acceso remoto.
• Inserción de malware—También conocido como un ataque al servicio web, esto está utilizando o explotando el acceso en línea otorgado a una red a través de una bóveda o una puerta de enlace de medios extraíbles.
• Compromiso de las bases de datos de punto a punto (P2P) mediante la inyección de Lenguaje de consulta estructurado (SQL)—Este es un escenario probable cuando se concede acceso en línea a una base de datos en el sitio web de una empresa.
• Malware incrustado de puerta trasera—Esto podría introducirse a través de los componentes de las partes programables durante el proceso de fabricación o durante la prueba o la carga de los sistemas operativos.
• Ataque de denegación de servicio (DoS) utilizando servidores P2P—Esto puede ocurrir al lanzar un ataque basado en volumen o un ataque basado en la aplicación (como un ataque XML) una vez que un atacante pone en peligro la red de un proveedor y los servidores específicos están en uso.

Paso 3: Definir proveedores importantes

Un artículo publicado por el Instituto SANS sugiere que el primer paso para construir un programa de administración de proveedores es definir los más importantes vendedores.¹⁰ El artículo de SANS enfatiza la importancia de clasificar a los proveedores de misión crítica como de alto riesgo. Los ejemplos incluyen los socios importantes de la organización, los servicios financieros y legales, y los proveedores de software difíciles de reemplazar.

Cuando se trata de vectores de entrega de ataques cibernéticos, la sensibilidad de los datos compartidos con los socios no es un factor clave. Por el contrario, lo que debe tenerse en cuenta son los mecanismos de accesibilidad de la red y la frecuencia de su uso por parte del proveedor y la empresa empleadora. En otras palabras, es necesario enfocarse en los vectores de entrega a la red de la empresa. Más que cualquier otro criterio, esta es la clave para definir los factores de ciberriesgo de la cadena de suministro.

Teniendo en cuenta este paradigma, el método de puntuación descrito aquí abarca los siguientes factores para calificar a los proveedores:

• Tipo de archivo/código/acceso—Este indicador es el factor central con respecto al método de puntuación sugerido. No hace falta decir que este indicador corresponde directamente con las amenazas cibernéticas a los procesos de la cadena de suministro. La definición del puntaje relevante para una empresa implica un enfoque específico para cada plataforma de TI.
  La Figura 1 presenta la mayoría de las plataformas de conectividad de los procesos de la cadena de suministro que se describieron en el paso 2. También se ofrece un método de puntuación sugerido. Se recomienda definir la opción de puntaje más alta para cada proveedor calificado.
• Frecuencia de datos en movimiento—Debido a la accesibilidad en línea de los servicios en un modelo de cliente-servidor, este criterio no suele tener un impacto significativo cuando se trata de evaluar los controles dentro de una red interna.
  Este indicador es muy útil para definir una plataforma de TI que se utiliza para transferir datos o para proporcionar accesibilidad externa, ya que tales funciones se implementan con frecuencia para los procesos de la cadena de suministro. Por ejemplo, una empresa puede no otorgar acceso remoto a un proveedor específico durante todo el día; sin embargo, el servicio podría estar disponible durante días u horas predefinidos. Lo mismo se aplica a la revisión del código de software y al examen de los componentes antes de la implementación, el último de los cuales se ejecuta fuera de línea.
  Se recomienda encarecidamente utilizar un enfoque de puntuación distinguido para este indicador. Esto significa, por ejemplo, dar la puntuación más alta (5) a las conexiones diarias en línea (como servicios web), una puntuación relativamente alta (4) a una actualización de interfaz de programación de aplicaciones (API) semanal y una puntuación muy baja (1) a procesos ocasionales, como la instalación de un nuevo sistema.
• Número de vectores de entrega—Como se mencionó anteriormente, se recomienda encarecidamente basar una evaluación de ciberriesgo de la cadena de suministro en los vectores de entrega a las redes de la empresa. Por lo tanto, la cantidad de plataformas de conectividad y de puerta de enlace es significativa cuando se pretende definir a los proveedores potenciales de mayor riesgo.
  Al igual que con el indicador anterior, se aconseja adoptar un enfoque de puntuación distintivo cuando se trata de calificar la cantidad de vectores de entrega de un proveedor específico. Por ejemplo, cuando se trata de ciberriesgo, la diferencia entre un vector de entrega y cuatro vectores de entrega en total es enorme, mientras que la brecha entre tres y cuatro vectores de entrega es menos significativa.

Para completar el método de puntuación, se deben implementar las ecuaciones de mejores prácticas apropiadas:

• Riesgo—Según la ecuación conocida, el riesgo es igual a la gravedad multiplicada por la probabilidad. En este caso, con respecto a la definición del proveedor, el riesgo debe normalizarse y, por lo tanto, es igual a la multiplicación del tipo de archivo/código/acceso, la frecuencia de datos en movimiento y el número de vectores de entrega.
• Controles de seguridad—Los controles de seguridad son salvaguardas o contramedidas para evitar, detectar, contrarrestar o minimizar los factores de riesgo de la propiedad física, la información, los sistemas informáticos u otros activos. El rango de controles de seguridad es grande y, por lo general, está fuertemente relacionado con la empresa y las características de su red. Para cumplir con el criterio de controles de seguridad, se debe ejecutar un mapeo de los procesos comerciales suficiente, que debe incluir el mapeo de los controles de seguridad relacionados con los procesos de la cadena de suministro.
• Riesgo residual—De acuerdo con las mejores prácticas de evaluación de riesgos, el riesgo residual es una evaluación del riesgo que un proveedor o vendedor impondría después del análisis de los controles implementados, principalmente desde el ámbito de la seguridad de la información.

La Figura 2 presenta el método de puntuación para evaluar el riesgo residual que los vendedores pueden imponer a una empresa. La Figura 3 ofrece un método de puntuación en blanco para uso propio del lector, y la figura 4 proporciona una evaluación en blanco de amenazas cibernéticas para el uso del lector.

Paso 4: Planificación del programa de seguridad

Una vez que se completa el proceso de evaluación de riesgos, el próximo paso es consolidar los planes de mitigación según sea necesario con respecto a los principales proveedores. Esta fase es muy individual para la empresa y, por lo tanto, incluye múltiples consideraciones. Es imperativo usar las mejores prácticas asociadas con cada consideración. Para los lectores que buscan conocimiento fundamental sobre esta fase, se recomienda la base de datos de Amenazas y Controles de ISACA.¹¹ Los controles de la base de datos están categorizados en seis grupos: arquitectura, administración de datos, hardware, red, software y administración de usuarios.

Conclusión

El resultado final es que los factores de ciberriesgo a través de las cadenas de suministro están evolucionando para ser una gran preocupación como parte del panorama de amenazas de ciberseguridad. Aunque se pueden encontrar muchas fuentes y análisis que cubren este tema, todavía falta un marco: un método de puntuación para evaluar y definir el riesgo de cada uno de los proveedores externos conectados a la red. Este artículo proporciona un marco completo que cubre este tema desde una perspectiva orientada a los proveedores, en oposición al análisis centrado solo en los vectores de ataque. Por lo tanto, este marco puede combinarse e integrarse fácilmente en un proceso más amplio de evaluación de riesgos de terceros, que analice tanto las amenazas cibernéticas como el riesgo de fuga de datos que puedan plantear terceros. Con ese fin, el riesgo general también se refiere al riesgo de transferencia accidental de datos confidenciales a un tercero, en cuyo caso el proveedor podría ser utilizado maliciosamente como un vector de entrega a la organización.

Notas finales

¹ Krebs, B.; “Target Hackers Broke in Via HVAC Company,” Krebs on Security, February 2014, https://krebsonsecurity.com/2014/02/target-hackers-broke-in-via-hvac-company
² US Senate Committee on Commerce, Science and Transportation, “A Kill Chain” Analysis of the 2013 Target Data Breach,” USA, 26 March 2014
³ Roman, J.; “Target Breach Costs: $162 Million,” Bank Info Security, 25 February 2015, https://www.bankinfosecurity.com/target-breach-costs-162-million-a-7951
⁴ PricewaterhouseCoopers, The Global State of Information Security Survey 2015, USA, https://www.pwc.com/gx/en/consulting-services/information-security-survey/assets/the-global-state-of-information-security-survey-2015.pdf
⁵ National Institute of Standards and Technology, “Supply Chain Risk Management Practices for Federal Information Systems and Organization,” SP 800-161, USA, April 2015
⁶ National Institute of Standards and Technology, Framework for Improving Critical Infrastructure Cybersecurity, USA, January 2017, https://www.nist.gov/sites/default/files/documents////draft-cybersecurity-framework-v1.11.pdf
⁷ New York State Department of Financial Services, Regulation 23 NYCRR 500: Cybersecurity Requirements for Financial Services Companies, USA, February 2017, www.dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf
⁸ Ernst & Young, Cybersecurity Requirements for Financial Services Companies, February 2017, www.ey.com/Publication/vwLUAssets/EY-cybersecurity-requirements-for-financial-services-companies/$FILE/EY-cybersecurity-requirements-for-financial-services-companies.pdf
⁹ National Institute of Standards and Technology, Best Practices in Cyber Supply Chain Risk Management, USA, https://www.nist.gov/sites/default/files/documents/itl/csd/NIST_USRP-FireEye-Cyber-SCRM-Case-Study.pdf
¹⁰ Shackleford, D.; Combatting Cyber Risks in the Supply Chain, SANS Institute InfoSec Reading Room, September 2015, https://www.sans.org/reading-room/whitepapers/analyst/combatting-cyber-risks-supply-chain-36252
¹¹ ISACA, Threats and Controls Tool, USA, 2017, https://cybersecurity.isaca.org/csx-threats-and-controls