Los CISO están bajo la presión de comprender y abordar los riesgos potenciales vinculados a las tensiones geopolíticas, las regulaciones y otros cambios fuera de su control.
Los líderes de seguridad empresarial se enfrentan a una presión cada vez mayor para proteger sus cadenas de suministro globales de TI contra los actores de amenazas y un panorama regulatorio y geopolítico cada vez más complejo. Los acontecimientos recientes, desde las disputas comerciales hasta los conflictos regionales, han demostrado la rapidez con la que las tensiones geopolíticas pueden interrumpir el acceso a tecnologías críticas y exponer a las organizaciones a infracciones a través de ataques a proveedores de confianza y servicios de terceros.
En algunos casos, las interrupciones y los cambios fueron causados por la acción de los gobiernos y en otros por ciberataques vinculados a conflictos militares y geopolíticos en todo el mundo. Ejemplos de lo primero incluyen la prohibición del gobierno de EE. UU. de los equipos de telecomunicaciones de Huawei y ZTE y su prohibición casi total del uso del software de Kaspersky en 2024 por preocupaciones de seguridad nacional. Las organizaciones estadounidenses, especialmente dentro del gobierno federal, a las que de repente se les restringió el uso de las tecnologías de estas empresas, tuvieron que eliminarlas y reemplazarlas a toda prisa. Otros casos, como el ataque a SolarWinds, mostraron cómo las tensiones entre Rusia y Estados Unidos se manifestaron en ataques a la cadena de suministro de software.
Cada vez más, se requiere que los líderes de seguridad miren más allá de las defensas cibernéticas tradicionales y desarrollen estrategias que también tengan en cuenta los rápidos cambios a nivel global, señala Trey Ford, CISO de Bugcrowd. "Hoy en día, nuestros negocios operan, se obtienen tecnologías, los clientes se involucran y los empleados atienden desde todo el mundo", dice. "El tapiz que crea nuestro ecosistema empresarial está muy interconectado y las dependencias son intrincadas".
La nueva realidad significa que los líderes de seguridad deben comprender todo, desde las regiones que afectan al clima hasta los cambios sociopolíticos, los anuncios en la legislación o las decisiones legales que afectan a sus negocios, clientes y proveedores, señaló Ford. "La diversidad de perspectivas es el mejor amigo del CISO. Requerimos discusión y conocimiento de operaciones, legal, privacidad y cumplimiento para enumerar primero, y solo después, comprender las formas en que los eventos regionales impactan el negocio".
Para ayudar a los líderes de ciberseguridad, aquí hay cuatro consejos para mitigar algunos de estos riesgos:
Comprenda sus riesgos y exposición
Todo en la cibernética comienza con un inventario, y no es diferente cuando se trata de comprender los riesgos de la cadena de suministro global. Saber desde dónde opera su gente, desde dónde se entregan y hacia dónde se prestan los servicios, de dónde se aloja o se obtiene la tecnología, y conocer todas las regiones con las que su organización tiene relaciones comerciales, es fundamental para la seguridad de la cadena de suministro, según Ford.
También es vital la necesidad de comprender y mapear los flujos de datos a través de las fronteras internacionales, comprender los cambios en las regulaciones de protección de datos en mercados clave, mantener la flexibilidad en las ubicaciones de almacenamiento y procesamiento de datos y planificar las posibles restricciones a las transferencias de datos transfronterizas.
"Una relación sólida con el departamento legal interno, el asesoramiento externo y las organizaciones comerciales o un socio de asuntos legislativos lo mantendrá informado de los cambios en los mercados clave", dice Ford. "Pedir al departamento legal que informe sobre las tendencias sería una excelente manera de mantener estas cosas en la mente de los equipos de seguridad y de aquellos que apoyan la gestión de riesgos en la empresa".
También es una buena idea asociarse con proveedores de seguridad que inviertan en políticas públicas y servicios globales. Es una buena manera de mantenerse al día y apoyar la influencia de la defensa en asuntos de importancia específicos de la cibernética.
Mantener una cadena de suministro diversificada
Las organizaciones que se abastecen de proveedores internacionales de tecnología deben asegurarse de que no dependen demasiado de un solo proveedor, una sola región o incluso una sola tecnología. Mantener una cadena de suministro diversificada puede mitigar las costosas interrupciones de un ciberataque o vulnerabilidad que involucre a un proveedor clave, o de interrupciones relacionadas con cambios regulatorios, restricciones comerciales o conflictos geopolíticos.
"De lo que estamos hablando aquí es de la resiliencia empresarial o, más estrechamente, de la gestión de riesgos de la cadena de suministro", afirma Bruce Jenkins, CISO de Black Duck. "Hay que identificar la probabilidad y el impacto de la interrupción de los proveedores e identificar las alternativas". Los líderes de seguridad deben asegurarse de incluir estos riesgos e impactos potenciales en su proceso general de análisis de impacto en el negocio (BIA) de la empresa, y los planes alternativos para abordarlos, en su plan de continuidad del negocio (BCP), recomienda Jenkins.
Abastecerse estratégicamente de múltiples proveedores y regiones cuando sea posible puede permitir una mejor resiliencia y adaptabilidad a las amenazas emergentes o a los cambios geopolíticos inesperados. "Si tienes asociaciones tecnológicas clave con acceso o entrega provenientes de geografías de interés, vale la pena cultivar alternativas que sean cálidas", recomienda Ford en Bugcrowd. "Si tiene regiones a las que se puede acceder a través de conexiones de cable submarino comunes, comprenda cómo podría ser una interrupción y cómo abordaría una interrupción o degradación del servicio".
Implemente una evaluación y supervisión de riesgos sólidas
Implemente un programa de evaluación y supervisión de riesgos para su cadena de suministro global de TI, o revise (y actualice cuando sea necesario) cualquier programa de este tipo que ya tenga implementado. Las organizaciones con proveedores en áreas geopolíticamente volátiles deben considerar el desarrollo de una capacidad de alerta temprana que combine fuentes de inteligencia de amenazas externas, monitoreo de noticias y análisis de negocios regionales. El objetivo debe ser anticipar las posibles interrupciones antes de que afecten a las operaciones. "Los CISO deben adoptar un enfoque proactivo y basado en el riesgo a la hora de gestionar a los proveedores, especialmente en regiones con dinámicas regulatorias o geopolíticas complejas", afirma Darren Guccione, CEO y cofundador de Keeper Security. "Es fundamental comprender los riesgos que plantean los proveedores en áreas de alto riesgo".
El seguimiento y la supervisión continuos de las tensiones mundiales y regionales son especialmente cruciales en las regiones en las que operan proveedores clave o en las que se obtienen tecnologías críticas. El objetivo debe ser comprender cómo la evolución de las políticas comerciales y las sanciones podría afectar el acceso a herramientas, actualizaciones y servicios de seguridad, especialmente cuando estas políticas se dirigen a sectores tecnológicos o empresas específicas. Un ejemplo es la prohibición del gobierno de EE. UU. en 2024 del uso de los productos de seguridad de Kaspersky en EE. UU.
"Si hay un evento de sanción que resulta en su incapacidad para aprovechar las soluciones de su proveedor, le recomiendo que intente mantener comunicaciones abiertas y honestas con su proveedor", dice Jenkins de Black Duck. "Sus equipos legales de contratación y cumplimiento de exportaciones deben aprovecharse para esto", señala. Si las sanciones o las acciones regulatorias afectan directa o indirectamente su capacidad para mantener comunicaciones y cumplir con las obligaciones de diligencia debida, es mejor seguir la ruta de mitigación en su BCP, aconseja.
Mantenga una visibilidad continua de las obligaciones de cumplimiento de su proveedor
Los proveedores de TI, incluso los de buena reputación y los grandes, a veces pueden infringir las regulaciones internacionales y de control de exportaciones. En 2023, por ejemplo, Microsoft tuvo que pagar una multa de 3,3 millones de dólares a la Oficina de Industria y Seguridad (BIS) del Departamento de Comercio de Estados Unidos y a la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro por presuntamente vender su software a una empresa rusa que figuraba en una lista de sanciones de Estados Unidos. En otro incidente, el exchange de monedas virtuales Kraken tuvo que pagar una multa de más de 360.000 dólares para resolver los cargos de Estados Unidos de que la empresa había violado las sanciones contra Irán.
A veces, el incumplimiento por parte de un proveedor puede dar lugar a restricciones que pueden afectar a la capacidad de su organización para operar a nivel mundial, por lo que es vital supervisar continuamente su cadena de suministro para garantizar un abastecimiento ético.
Sea coherente, metódico y regular con sus prácticas de gestión de riesgos de terceros (TPRM). Asegúrese de que sus proveedores cumplan con las certificaciones de seguridad reconocidas, como SOC 2 Tipo 2 e ISO 27001, dice Guccione. "Los acuerdos contractuales claros que describan los estándares de ciberseguridad y los protocolos de manejo de datos son esenciales para garantizar que los proveedores cumplan con los requisitos de seguridad de la organización", señala. Establezca un marco de gobernanza sólido que incluya auditorías periódicas, comprobaciones de cumplimiento y supervisión continua.
Al mismo tiempo, sea consciente de los límites de sus esfuerzos en el contexto de un entorno geopolítico o regulatorio específico, advierte Jenkins. "Comprenda y trabaje dentro de esas limitaciones, cualesquiera que sean, y no pierda el tiempo retrocediendo a menos que haya un valor comercial indiscutible al hacerlo". Documente sus esfuerzos con fines de auditoría y utilice los resultados de sus esfuerzos para la futura toma de decisiones basada en el riesgo en torno a los programas de adquisiciones y resiliencia empresarial, señaló Jenkins.