Riesgos de terceros: asegurar la cadena de suministro en la era del NIS 2

Una de las principales lecciones de los recientes ataques es que la cadena de suministro suele ser el eslabón más débil de la ciberseguridad. Virus insertados en actualizaciones de software (por ejemplo, el asunto SolarWinds), ransomware que afecta a un proveedor de servicios críticos y paraliza a sus clientes, robo de datos a través de un proveedor negligente… Todos estos escenarios han puesto de relieve la importancia de gestionarel ciberriesgo de terceros. La directivaNIS 2 incorpora explícitamente esta dimensión: exige a las empresas que tengan en cuenta la seguridad de sus proveedores y subcontratistas en su propia gestión de riesgos(Requisitos NIS2 | 10 medidas mínimas a tener en cuenta). Esto refleja una cruda realidad: su nivel de seguridad también depende del de sus socios.

El riesgo de los proveedores: un problema sistémico creciente

Con la transformación digital, las empresas están cada vez más interconectadas. De media, una empresa del S&P 500 trabaja con miles de proveedores, muchos de los cuales tienen acceso a sus sistemas o datos. Cada conexión, cada dependencia, representa una superficie de ataque adicional. Los ciberdelincuentes son muy conscientes de ello: a menudo es más fácil acceder a través de un proveedor menos protegido que atacar directamente a una gran empresa altamente segura. Según un estudio reciente, el 61% de las empresas han sufrido una violación de datos vinculada a un tercero en los últimos 12 meses(61% of Companies Have Been Breached by a Third Party – Prevalent). Esta alarmante cifra supone un aumento del +49% con respecto al año anterior, señal de que los ataques a la cadena de suministro se están disparando.

Por ello, laNIS 2 dedica una de sus medidasmínimas a la seguridad de la cadena de suministro(Requisitos NIS2 | 10 medidas mínimas a abordar). En la práctica, las organizaciones deben evaluar las vulnerabilidades de cada uno de los principales proveedores directos y elegir las medidas de seguridad adecuadas para cada uno de ellos(Requisitos NIS2 | 10 Medidas mínimas a abordar). El objetivo es establecer un auténtico proceso de Gestión de Riesgos de Terceros (TPRM). Además, el alcance más amplio de NIS 2 significa que una serie de «pequeños» actores de la cadena de suministro estarán sujetos a la directiva. De hecho, incluso los subcontratistas de tamaño medio pueden ser clasificados como grandes entidades si prestan servicios críticos y superan los umbrales de 50 empleados/10 M€(Directiva NIS 2: Impacto sobre las PYME y los proveedores) (Directiva NIS 2: Impacto sobre las PYME y los proveedores). Por tanto, estamos asistiendo a la aparición de una red de seguridad más amplia que abarca todo el ecosistema en torno a los operadores esenciales.

Para los CIO/ISP, esto significa un ámbito de vigilancia más amplio. Ya no basta con proteger sus propios sistemas; tienen que asegurarse de que sus socios clave no se conviertan en la puerta de entrada de los atacantes. Hay un adagio que resume el reto: » Eres tan fuerte como tu eslabón más débil». Y, por desgracia, muchas empresas tienen poca visibilidad de la solidez de sus terceros. En la euforia de la transformación digital, han proliferado las herramientas SaaS y los proveedores de servicios en la nube, a veces sin verdaderos controles de seguridad. El resultado: accesos VPN proporcionados a proveedores de servicios sin MFA, intercambios de datos sin cifrar con subcontratistas, contratos sin cláusula de seguridad… Todas estas son bombas de relojería que NIS 2 te anima a desactivar.

Implicaciones y buenas prácticas para gestionar los riesgos de terceros

La integración de la cadena de suministro en NIS 2 empujará a las empresas a profesionalizar la gestión de sus proveedores desde el punto de vista de la seguridad. He aquí las mejores prácticas a aplicar:

• Elaboreun registro de terceros y mapee los accesos: Haga una lista de sus proveedores y prestadores de servicios digitales, identificando a aquellos que son críticos para sus operaciones o que tienen acceso a datos sensibles. Para cada uno de ellos, mapee los puntos de interconexión con su SI (acceso a la red, cuentas de usuario proporcionadas, intercambio de archivos, API, etc.). Esta visión de conjunto es el requisito previo para evaluar el riesgo.
• Evalúe el nivel de seguridad de sus proveedores: Establezca un proceso deevaluación de riesgos de terceros. Puede tratarse de cuestionarios de seguridad enviados a los proveedores (autoevaluación de sus prácticas: políticas, certificaciones, medidas aplicadas), de la exigencia de certificaciones o auditorías (ISO 27001, etiqueta SecNumCloud, etc.), o incluso de escáneres técnicos o evaluaciones externas (cyberscore, informes SOC2 proporcionados por el proveedor de servicios, etc.). El objetivo es calificar a los proveedores según un nivel de riesgo (alto, moderado, bajo) que tenga en cuenta tanto su nivel de seguridad como la criticidad de la conexión con su empresa.
• Incluya requisitos de seguridad en los contratos: colabore con su departamento jurídico para incluir cláusulas específicas en sus contratos y licitaciones. Por ejemplo: obligación de que el proveedor notifique cualquier ciberataque que le afecte (similar a las obligaciones de notificación de la NIS 2), cláusula de rescisión en caso de violación grave de la seguridad, derechos de auditoría de seguridad, compromiso de cumplir determinadas normas (por ejemplo, cifrado de los datos confiados, MFA para el acceso a los sistemas del cliente, etc.). De este modo, se formaliza un nivel de exigencia y se obtiene una ventaja en caso de que el proveedor se demore.
• Colabore con los proveedores en la corrección: si un proveedor tiene puntos débiles (por ejemplo, no tiene un plan de continuidad o un procedimiento de gestión de vulnerabilidades), trabajen juntos en un plan de corrección. En lugar de castigar al proveedor directamente, apóyele (especialmente si es un proveedor pequeño). Por ejemplo, ofrézcales la posibilidad de participar en sus cursos de formación sobre seguridad, comparta las mejores prácticas o indíqueles la dirección de recursos (guías ANSSI, etc.). Este enfoque colaborativo aumenta el nivel global de seguridad en su cadena.
• Limite el acceso y los permisos de terceros: aplique el principio del menor privilegio a las cuentas de terceros. Conceda acceso únicamente a los recursos necesarios y deshabilite el acceso en cuanto deje de ser necesario. Supervise las actividades de las cuentas de proveedores (revise los registros). Aplicar controles específicos a las conexiones de terceros: por ejemplo, imponer una autenticación fuerte a los proveedores de servicios, segmentar la red para aislar el acceso de los proveedores, restringir los horarios o las direcciones IP autorizadas, etc. Si un proveedor de servicios se ve comprometido, estas medidas limitarán el impacto sobre usted.
• Supervisión continua y reevaluación periódica: La gestión de riesgos de terceros no es un ejercicio anual puntual, sino un proceso continuo. Vigile las alertas y noticias sobre incidentes cibernéticos que afecten a sus proveedores. Manténgase alerta (por ejemplo, si uno de sus proveedores de servicios en la nube sufre una brecha pública, reaccione con rapidez). Reevalúe a sus proveedores clave cada año o cada vez que se produzca un cambio importante (nuevo servicio que se les confía, cambios en su SI). E incluya la dimensión del riesgo de terceros en su gobernanza interna: hágalo debatir por un comité de riesgos, con informes específicos.

Aplicando estos principios, la empresa se protege elevando el nivel de confianza en su ecosistema. Hay que tener en cuenta que se trata de un proceso bidireccional: del mismo modo que usted exige que sus proveedores sean sólidos, sus propios clientes pueden pedirle cuentas sobre su seguridad (especialmente si usted mismo es proveedor en una cadena ajena). Al crear una norma común, NIS 2 facilita estos intercambios de requisitos por ambas partes.

Soluciones inteligentes de gobernanza global para gestionar los riesgos de terceros

La plataforma Smart Global Governance incorpora funcionalidades avanzadas para la gestión integral del riesgo de proveedores. En particular, el módulo Supply Chain Manager Suite está diseñado para ayudarle a evaluar, supervisar y reducir los riesgos cibernéticos asociados a sus terceros, de forma eficaz y centralizada.

He aquí cómo Smart Global Governance responde concretamente a este reto:

• Base de datos centralizada de terceros: La solución le permite listar a todos sus proveedores y socios, con su información clave (contacto, contrato, servicios prestados, acceso a SI, datos compartidos, etc.). Cada tercero dispone de una ficha de perfil que puede ser consultada por todas las partes interesadas autorizadas (TI, Compras, Riesgos, etc.). Se acabaron los listados manuales dispersos: tendrá una visión de 360° de su ecosistema.
• Cuestionarios de evaluación automatizados: Smart Global Governance facilita el envío de cuestionarios de seguridad en línea a sus proveedores. Gracias a plantillas preestablecidas alineadas con las normas (basadas en NIS 2, ISO 27001, etc.), puede evaluar de manera uniforme a sus terceros. Los proveedores responden a través de un portal específico y las respuestas se agregan automáticamente. El sistema puede incluso asignar una puntuación de madurez a cada proveedor basándose en las respuestas, ofreciéndole una referencia objetiva. Este proceso automatizado le ahorra una enorme cantidad de tiempo en comparación con los recordatorios manuales por correo electrónico.
• Seguimiento de los planes de acción de los proveedores: Si un proveedor presenta no conformidades o puntos débiles, Smart Global Governance le ayuda a gestionar los planes de corrección. Puede asignar acciones al proveedor (por ejemplo, «implantar una política de copias de seguridad en un plazo de 3 meses») y supervisar su aplicación mediante cuadros de mando. El propio proveedor puede actualizar los progresos o adjuntar pruebas en el portal, creando un canal de colaboración transparente. Usted mantiene un historial de todas las medidas adoptadas, lo que demuestra su diligencia en caso de auditoría.
• Evaluación continua y alertas: La plataforma puede interactuar con servicios externos de calificación cibernética (Cyber Threat Intelligence, escáneres de superficie de ataque, etc.) para alimentar una puntuación de riesgo en tiempo real de tus proveedores. Si uno de sus proveedores sufre una filtración pública de datos o ve caer su calificación de seguridad, usted recibe una alerta instantánea. Esto le permite tomar medidas proactivas (ponerse en contacto con el proveedor, intensificar la vigilancia) sin esperar a la siguiente evaluación anual. Este enfoque continuo está en consonancia con el espíritu de vigilancia permanente que promueve la NIS 2.
• Integración con los procesos de compras: Smart Global Governance puede integrarse con sus herramientas de compras/ERP para intervenir al principio del ciclo de vida del proveedor. Por ejemplo, al seleccionar un nuevo proveedor crítico, puede exigirse una evaluación de riesgos a través de la plataforma antes de la validación final. De este modo, la seguridad se convierte en un criterio de selección del mismo modo que el precio o la calidad del servicio. Esta integración refuerza la consideración previa del riesgo de terceros, evitando el descubrimiento de problemas tras la firma del contrato.
• Informes consolidados: Por último, la solución ofrece cuadros de mando globales sobre la exposición a los riesgos de terceros. Se puede ver cuántos proveedores están clasificados como de alto riesgo, seguir los cambios en las puntuaciones a lo largo del tiempo, ver el progreso de los planes de corrección, etc. Estos informes tienen un valor incalculable para informar a la dirección (por ejemplo, «De nuestros 50 proveedores críticos, 45 se consideran bajo control y 5 están sujetos a una supervisión reforzada»). Esto demuestra el control sobre el tema y tranquiliza a los auditores/clientes preocupados por el riesgo de la cadena de suministro.

Gracias a Smart Global Governance, la gestión del riesgo de terceros se ha convertido en un proceso estructurado y basado en herramientas. Se pasa de un enfoque potencialmente tradicional (archivos Excel, recordatorios ad hoc) a un enfoque industrial basado en datos. El resultado: una visibilidad mucho mayor y la capacidad de anticiparse en lugar de reaccionar. En un contexto en el que los ataques a la cadena de suministro pueden tener efectos devastadores, dotar a su organización de este tipo de capacidad de control es una baza importante. Siempre sabrá dónde se encuentran sus vulnerabilidades externas y podrá trabajar activamente con sus socios para reforzarlas, transformando su cadena de suministro en una cadena de confianza.