Cinco pasos de Cisco para una ciberseguridad eficaz de terceros

Ya es bastante difícil apuntalar la ciberseguridad dentro de las paredes de su propio negocio. ¿Pero hacer lo mismo con el ejército de socios que conforma una cadena de suministro global? Eso puede ser casi imposible.

Apenas pasa una semana sin noticias de otro ciberataque contra la cadena de suministro de una importante empresa. Y la mayoría de las veces, el conducto de la incursión es un tercero con controles débiles.

En las cadenas de suministro modernas, un tercero puede ser cualquier entidad que venda piezas, productos, servicios, soporte, software; la lista continúa. "Para mí, comprende a cualquier otra persona que no sea nosotros y que en cualquier punto de las etapas de la cadena de valor esté realmente involucrada en nuestras soluciones", dice Edna Conway, directora de seguridad de la cadena de valor global de Cisco Systems, Inc.

Cisco favorece el término "cadena de valor", que muchas empresas y consultores han intentado sin éxito suplantar a la "cadena de suministro" como descriptor general para el viaje de un producto al mercado de un extremo a otro, porque sugiere un universo más amplio de entidades independientes dedicadas a ese esfuerzo. Pero ya sea que uno adopte o no el lenguaje de moda empresarial, no hay duda de que la proliferación de socios plantea serios problemas de ciberseguridad. Sin sistemas y procedimientos adecuados establecidos, cualquiera de ellos podría ser presa de los esfuerzos de los malos actores, incluidas las empresas rivales, los gobiernos, los extorsionistas e incluso los piratas informáticos del sótano.

Conway ofrece el siguiente enfoque de cinco pasos para establecer un plan de ciberseguridad eficaz para las relaciones con terceros.

1. Conozca el "quién, qué y dónde" de su cadena de suministro. Por evidente que parezca, muchas empresas no controlan todas las partes que contribuyen de alguna manera al negocio. Ese es especialmente el caso de las cadenas de suministro de varios niveles, y hoy en día es difícil pensar en un producto manufacturado que no dependa de esa estructura.

2. Busque formas de comunicarse de manera eficaz con todas esas partes. Conway no se refiere a todas las interacciones que cubren cuestiones geopolíticas o la continuidad del suministro, solo a aquellas que abordan específicamente cuestiones de seguridad. Como tal, describe tres tipos principales de amenazas:manipulación (cuando se altera la información), espionaje (tanto estatal como industrial) y disrupción (que implica intentos de cerrar el negocio). Ella dice que puede ser difícil convencer a un desarrollador de licencias de software o un proveedor de servicios en la nube de la importancia de protegerse contra las tres amenazas. Lo mismo ocurre con las personas en la fábrica, cuya atención podría centrarse en mantener la línea en marcha. "Se necesita capacitación para hacer que la seguridad sea parte del pensamiento diario de cualquier persona en cualquier función", dice Conway.

3. Desarrollar una arquitectura "flexible y elástica". El enfoque de Cisco para la seguridad de la cadena de suministro abarca 11 dominios discretos que reflejan la complejidad de sus procesos. Diseño, desarrollo, entrega y servicio:cada disciplina posee relaciones con terceros, creando la posibilidad de innumerables puntos débiles tanto dentro como fuera de la organización. La estrategia tiene en cuenta el hecho de que varias áreas de producción requieren pautas que son únicas para sus operaciones. “Escribimos los requisitos de manera que pueda mapearlos, de modo que solo se apliquen aquellos que se basan en la naturaleza de lo que nos entrega”, dice Conway. "Todo el mundo obtiene una versión personalizada".

4. Integre la seguridad en todo lo que haga con terceros. Conway insta a las empresas a que se hagan la pregunta:"¿Por qué los usamos y cómo se desempeñan de acuerdo con nuestras métricas de servicio?" Irónicamente, cuando se anunciaba la "Calidad" en pancartas y manifestaciones corporativas, el concepto no estaba "imbuido de manera persuasiva" dentro de la organización. Cuando se trata de ciberseguridad ahora, la calidad no es un eslogan o una función discreta, dice Conway, está inculcada en todos los procesos dentro de la cadena de suministro. Cisco asigna puntos a terceros de acuerdo con su adhesión demostrada a la calidad, y la seguridad es una parte clave de esa medida. "Hacemos que sea matemáticamente significativo, por lo que si usted es fantástico como proveedor pero terrible en seguridad, es posible que no siga siendo un proveedor preferido", dice.

5. Todos deben medir . Conway ha estado esforzándose mucho para medir el desempeño en toda la organización. “Establecemos niveles de tolerancia frente a nuestras propias especificaciones y procesos”, dice. "Al final del día, estamos haciendo que la seguridad hable el idioma de los negocios".

La iniciativa de seguridad de Cisco no se implementó de una vez. Conway, quien anteriormente se desempeñó como abogado externo de la compañía especializada en asuntos de propiedad intelectual, se convirtió en su CSO a principios de la década de 2000. En lugar de imponer inmediatamente una "arquitectura monolítica" desde el principio, lo tomó por etapas, comenzando con los socios de sistemas de fabricación electrónica (EMS) de Cisco, y luego pasando a los productores de circuitos impresos, la ingeniería y la gran cantidad de socios de canal que conforman la empresa. "Cadena de valor".

Al predicar el evangelio de la ciberseguridad, Conway considera esencial comunicarse con la suite ejecutiva, cuya visión del mundo se basa en las ganancias y las pérdidas. “Me gustaría traducir mis niveles de tolerancia en riesgo monetario”, dice. "Todos necesitamos hablar el idioma de los negocios".