Artículo y comentario(s)

Gestión de riesgos en la cadena de suministro TIC

23/05/2012, por Antonio Ramos García

Cada vez es más habitual ver en la misma frase los conceptos ’cadena de suministro’ y ’servicios TIC’ y es que, desde la explosión de la informática en la nube, los servicios TIC cada vez son más asimilables a un suministro más de la propuesta de valor de cualquier cadena de producción que podamos pensar. De hecho, cada vez somos más, los que al hablar, sobre todo, de los servicios IaaS y PaaS, pensamos en ellos como la electricidad del siglo XXI.

En esta línea, llamó mi atención un informe realizado por la Oficina de Contabilidad del Gobierno de los EE.UU. (GAO, por sus siglas en inglés, Government Accountability Office) titulado "IT Supply Chain - National Security Related Agencies Need to Better Address Risks" publicado el pasado mes de marzo. El objetivo de la auditoría cuyas conclusiones comentaremos más tarde era identificar:

  1. Los riesgos fundamentales asociados a las cadenas de suministro empleadas por las agencias federales para adquirir equipamiento, software y servicios TIC;
  2. El grado hasta el que las agencias seleccionadas (las relacionadas con la seguridad nacional - Energía, Interior, Justicia y Defensa) consideraban los riesgos en las cadenas de suministros TIC; y
  3. Hasta qué punto dichas agencias habían determinado si sus redes de telecomunicaciones incluían equipos, software o servicios desarrollados por extranjeros.

En primer lugar, me gustaría resaltar el propio hecho de que exista este informe que, por cierto, se inició en… ¡¡noviembre de 2010!! Es decir, que algunos ya están preocupados por este tema desde hace dos años aproximadamente. De hecho, la GAO no solo piensa en los servicios TIC, sino que también está pensando en la fabricación, ensamblaje y distribución de hardware o software y que, en la medida en la que las agencias federales dependen de estos productos o servicios para la ejecución de sus misiones, la seguridad de los proveedores se convierte en crítica para garantizar la seguridad nacional.

En segundo lugar, las principales amenazas que la GAO identifica en la cadena de suministro TIC:

  • Instalación de lógicas maliciosas en hardware o software.
  • Instalación de falsificaciones de hardware o software.
  • Fallos o trastornos en la producción o distribución de un producto o servicio crítico.
  • Dependencia de proveedor de servicios malicioso o no capacitado para la realización de servicios técnicos.
  • Instalación de vulnerabilidad no intencionadas en hardware o software.

Me parece muy apropiado este enfoque a la hora de pensar en los riesgos que supone la provisión por terceros de servicios TIC, puesto que nos posiciona en un plano en el que podemos analizar, desde una perspectiva operativa los riesgos informáticos.

En tercer lugar me gustaría destacar que, por una vez, hay asuntos en los que no tenemos que envidiar en materia de seguridad a los EE.UU., puesto que ellos cuentan con dos normas fundamentales para la seguridad federal, las normas FIPS 199 y 200, mientras que nosotros contamos con "nuestro" Esquema Nacional de Seguridad.

Finalmente, mencionaría las propuestas recogidas en el documento para gestionar este riesgo:

  • Revisiones previas de los proveedores, utilización de almacenes y transportes seguros y emplear análisis independientes de los productos y servicios (según se recoge en el requerimiento SA-12 de la NIST SP 800-53).
  • Procedimientos para evaluar las amenazas de los proveedores potenciales de componentes críticos de los sistemas (maximizar la visibilidad).
  • Procesos para detectar la ocurrencia, reducir su probabilidad y mitigar las consecuencias de productos falsificados o con componentes maliciosas.
  • Mejoras en las pruebas de detección de vulnerabilidades, incluyendo soluciones automatizadas.
  • Seleccionar lenguajes de programación y herramientas que contrarresten las debilidades.
  • Reducir los riesgos durante las actualizaciones de software y la gestión de parches.

Estas actividades implican la necesidad de:

  1. Recursos suficientes para las actividades de gestión de riesgos en la cadena de suministros TIC;
    Un gobierno adecuado de estos aspectos;
  2. Procesos y procedimientos para mejorar la confianza y reducir el riesgo;
  3. Métodos contractuales y legales para evitar utilizar proveedores con demasiado riesgo; y
  4. Revisar las políticas para considerar la gestión de este riesgo.

Como decía, me parece un enfoque muy a tener en cuenta para el futuro… ¿qué opináis vosotr@s?

(Puedes dejar tus comentarios en el espacio reservado en este blog, en el correo electrónico observatorio@inteco.es, o a través de los perfiles @ObservaINTECO en redes sociales Twitter y Facebook).

Artículos relacionados

Comentario(s)

Escribir nuevo comentario

  • 01/07/2012-01:56:30 escrito por pgamanecer

    las Tics se han consolidado en nuestro tiempo como una verdadera tendencia y necesidad para que los seres humanos adelantes diferentes procesos derivados de sus que hacer diario, es de notar que de su buen uso se darán los resultados satisfactorio que esperamos, dando lugar a que sigan evolucionando y mejorando nuestras vidas.

Escribir nuevo comentario

Añadir comentario para el artículo

Una vez enviado, su comentario se encontrará pendiente de validación para ser publicado.

Los campos marcados con '*' son obligatorios

(No será publicado)
Responda a la siguiente pregunta de seguridad

Si sumas las prendas de ropa que hay en dos estanterías y dan diecisiete, pero viene alguien y coge 6 ¿Cuántas prendas de ropa hay entre las dos estanterías?

NORMAS DE PARTICIPACIÓN PARA LOS COMENTARIOS DE USUARIOS A LOS ARTÍCULOS DEL BLOG
  • En este espacio los usuarios pueden dar su opinión sobre los artículos que se publican.
  • INCIBE no se hace responsable de las opiniones vertidas.
  • INCIBE se reserva el derecho a modificar y/o eliminar aquellos comentarios considerados inadecuados, injuriantes o contrarios a las leyes españolas.
  • La publicación de los comentarios al blog está moderada.

De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos, INCIBE le informa que los datos personales facilitados en el presente formulario serán incorporados en un fichero de INCIBE y serán tratados de manera automatizada. El remitente da su consentimiento para ser incluido en el mencionado fichero que tiene como finalidad la prestación de servicios y la gestión de su consulta. Para más información al respecto de la política de protección de datos y del ejercicio de sus derechos de Acceso, Rectificación, Cancelación u Oposición de sus datos personales consulte el aviso legal.

Adicionalmente, INCIBE le informa de que cualquier dato e información que nos envíe, cualesquiera que sean su formato y soporte, será tratado con absoluta confidencialidad y reserva.