¿Se pueden salvar las cadenas de suministro estadounidenses de los ciberataques?

En febrero, el presidente Joe Biden firmó la Orden Ejecutiva 14017, pidiendo una revisión integral de las cadenas de suministro críticas de EE. UU. La acción fue en respuesta a la escasez de suministros médicos, como equipos de protección personal (EPP) para los trabajadores de la salud de primera línea, durante el apogeo de la pandemia COVID-19. Otras necesidades identificadas por el pedido incluían chips semiconductores para la industria automotriz y otras aplicaciones de alta tecnología.

Estos problemas obstaculizan la capacidad de los estadounidenses para obtener productos esenciales y crean inestabilidad para los trabajadores en las industrias afectadas. El objetivo de la nueva orden, según la Casa Blanca, es abordar de manera proactiva estos problemas antes de que vuelvan a ocurrir.

"Si bien no podemos predecir qué crisis nos golpeará, deberíamos tener la capacidad de responder rápidamente ante los desafíos", dijo la Casa Blanca. "Estados Unidos debe garantizar que la escasez de producción, las interrupciones del comercio, los desastres naturales y las posibles acciones de competidores y adversarios extranjeros nunca vuelvan a dejar a Estados Unidos vulnerable".

La campaña del presidente dejó en claro que su administración está comprometida a abordar los riesgos de la cadena de suministro de manera integral. Pero, ¿tendrá éxito la iniciativa?

Desde el punto de vista de la seguridad, hay una serie de cuestiones que la Administración debería considerar. Si no lo hace, se duplicará el tiempo y el esfuerzo, se desperdiciarán recursos y no se mitigarán los riesgos cibernéticos que podrían resultar en otro ataque a la cadena de suministro.

El primer paso para garantizar la seguridad de las cadenas de suministro de EE. UU. Es identificar sus vulnerabilidades y riesgos. La orden ejecutiva de Biden se enfoca en seis sectores:la base industrial de defensa, salud pública, tecnología de la información y comunicaciones, energía y energía, transporte y agricultura.

La dependencia de las cadenas de suministro de productos y servicios digitales ha creado graves vulnerabilidades, lo que hace que la ciberseguridad sea una parte esencial de la revisión. El temor de que un actor del estado-nación pueda decidir detener la cadena de suministro a través del ciberdelito es real. La sección 4.4 de la orden ejecutiva deja en claro que la gestión del riesgo cibernético es una preocupación clave y un área de enfoque. En el plazo de un año, se deben presentar informes que cubran el estado actual de la dependencia de las cadenas de suministro de las naciones competidoras. La forma en que el gobierno involucre a la comunidad de seguridad de la información para este propósito hará que la iniciativa sea decisiva en todos los sectores.

Garantizar resultados en un año

La empresa cubre una gran cantidad de territorio durante un período de un año. Es fundamental que la comunidad de tecnología y seguridad de la información, basándose en las lecciones del año pasado, proporcione información a las partes que están impulsando la iniciativa. Los esfuerzos de los grupos de la industria, como los centros de análisis e intercambio de información (ISAC) y el Consejo de Coordinación del Sector de TI (ITSCC), serán fundamentales para el éxito. Además, hay una montaña de datos y análisis provenientes de las cuatro grandes firmas consultoras sobre los riesgos que se deben priorizar al tratar con terceros.

El Departamento de Defensa de EE. UU. Debería desempeñar un papel clave para ayudar a que la iniciativa se implemente sin problemas. Un esfuerzo comparable supervisado por el DOD es la Certificación del Modelo de Madurez de Ciberseguridad (CMMC), que requiere que los proveedores de materiales contratados por el gobierno cumplan con estándares específicos. Un consejo clave, basado en la reacción pública y privada al CMMC hasta el momento, es evitar tanto como sea posible mezclar procesos de adjudicación de contratos y revisión. Los líderes de la industria del sector y las agencias gubernamentales deben trabajar juntos para decidir sobre un estándar simple pero efectivo para la cibernética en las diversas cadenas de suministro de manera sencilla.

La importancia de la estandarización

Crear las asociaciones adecuadas y obtener información de los expertos en seguridad de la información es una cosa, pero garantizar una mayor madurez de la seguridad cibernética en las cadenas de suministro de EE. UU. Es otra muy distinta. La comunicación es el único elemento que puede crear o deshacer nuevos requisitos cuando se implementa en un ecosistema de este tamaño. Está impulsado por la medición, con resultados estandarizados en todos los grupos, independientemente de su nivel de madurez en ciberseguridad. Los estándares como la subcategoría de gestión de riesgos de la cadena de suministro del NIST CSF o el CMMC mencionado anteriormente son excelentes herramientas para aclarar los requisitos e implementarlos de manera efectiva en todas las cadenas de suministro. Las metodologías de evaluación cibernética bajo NIST CSF son especialmente valiosas para proporcionar contexto a proveedores con poco conocimiento de seguridad de la información.

En lo que respecta a la medición, es imposible sortear todos los riesgos potenciales en las cadenas de suministro de EE. UU., Dada la complejidad de los ecosistemas de la cadena de suministro global. No obstante, es valioso identificar escenarios que examinen varios puntos potenciales de falla. Aprovechar las metodologías de cuantificación de riesgos existentes de manera creativa es clave para lograr una verdadera resiliencia. Es fundamental que las empresas comprendan el riesgo de la cadena de suministro como un medio para lograr una buena gobernanza, basándose en las aportaciones de los equipos de seguridad, el intercambio de datos e información y los avances en el software de gestión de riesgos.

Uno solo puede esperar que la iniciativa de la cadena de suministro de Biden aproveche los datos existentes de eventos pasados ​​y los análisis predictivos sobre el futuro. ¿Se puede comparar toda la cadena de suministro e identificar todas las vulnerabilidades en un solo año? ¿Y podemos mitigar el severo riesgo cibernético en las cadenas de suministro de EE. UU.? Eso está por verse.

Padraic O'Reilly es cofundador y director de productos de CyberSaint.