Gestión de riesgos en la cadena de suministro TIC

23/05/2012, por Antonio Ramos García

Cada vez es más habitual ver en la misma frase los conceptos ’cadena de suministro’ y ’servicios TIC’ y es que, desde la explosión de la informática en la nube, los servicios TIC cada vez son más asimilables a un suministro más de la propuesta de valor de cualquier cadena de producción que podamos pensar. De hecho, cada vez somos más, los que al hablar, sobre todo, de los servicios IaaS y PaaS, pensamos en ellos como la electricidad del siglo XXI.

En esta línea, llamó mi atención un informe realizado por la Oficina de Contabilidad del Gobierno de los EE.UU. (GAO, por sus siglas en inglés, Government Accountability Office) titulado "IT Supply Chain - National Security Related Agencies Need to Better Address Risks" publicado el pasado mes de marzo. El objetivo de la auditoría cuyas conclusiones comentaremos más tarde era identificar:

  1. Los riesgos fundamentales asociados a las cadenas de suministro empleadas por las agencias federales para adquirir equipamiento, software y servicios TIC;
  2. El grado hasta el que las agencias seleccionadas (las relacionadas con la seguridad nacional - Energía, Interior, Justicia y Defensa) consideraban los riesgos en las cadenas de suministros TIC; y
  3. Hasta qué punto dichas agencias habían determinado si sus redes de telecomunicaciones incluían equipos, software o servicios desarrollados por extranjeros.

En primer lugar, me gustaría resaltar el propio hecho de que exista este informe que, por cierto, se inició en… ¡¡noviembre de 2010!! Es decir, que algunos ya están preocupados por este tema desde hace dos años aproximadamente. De hecho, la GAO no solo piensa en los servicios TIC, sino que también está pensando en la fabricación, ensamblaje y distribución de hardware o software y que, en la medida en la que las agencias federales dependen de estos productos o servicios para la ejecución de sus misiones, la seguridad de los proveedores se convierte en crítica para garantizar la seguridad nacional.

En segundo lugar, las principales amenazas que la GAO identifica en la cadena de suministro TIC:

  • Instalación de lógicas maliciosas en hardware o software.
  • Instalación de falsificaciones de hardware o software.
  • Fallos o trastornos en la producción o distribución de un producto o servicio crítico.
  • Dependencia de proveedor de servicios malicioso o no capacitado para la realización de servicios técnicos.
  • Instalación de vulnerabilidad no intencionadas en hardware o software.

Me parece muy apropiado este enfoque a la hora de pensar en los riesgos que supone la provisión por terceros de servicios TIC, puesto que nos posiciona en un plano en el que podemos analizar, desde una perspectiva operativa los riesgos informáticos.

En tercer lugar me gustaría destacar que, por una vez, hay asuntos en los que no tenemos que envidiar en materia de seguridad a los EE.UU., puesto que ellos cuentan con dos normas fundamentales para la seguridad federal, las normas FIPS 199 y 200, mientras que nosotros contamos con "nuestro" Esquema Nacional de Seguridad.

Finalmente, mencionaría las propuestas recogidas en el documento para gestionar este riesgo:

  • Revisiones previas de los proveedores, utilización de almacenes y transportes seguros y emplear análisis independientes de los productos y servicios (según se recoge en el requerimiento SA-12 de la NIST SP 800-53).
  • Procedimientos para evaluar las amenazas de los proveedores potenciales de componentes críticos de los sistemas (maximizar la visibilidad).
  • Procesos para detectar la ocurrencia, reducir su probabilidad y mitigar las consecuencias de productos falsificados o con componentes maliciosas.
  • Mejoras en las pruebas de detección de vulnerabilidades, incluyendo soluciones automatizadas.
  • Seleccionar lenguajes de programación y herramientas que contrarresten las debilidades.
  • Reducir los riesgos durante las actualizaciones de software y la gestión de parches.

Estas actividades implican la necesidad de:

  1. Recursos suficientes para las actividades de gestión de riesgos en la cadena de suministros TIC;
    Un gobierno adecuado de estos aspectos;
  2. Procesos y procedimientos para mejorar la confianza y reducir el riesgo;
  3. Métodos contractuales y legales para evitar utilizar proveedores con demasiado riesgo; y
  4. Revisar las políticas para considerar la gestión de este riesgo.

Como decía, me parece un enfoque muy a tener en cuenta para el futuro… ¿qué opináis vosotr@s?

(Puedes dejar tus comentarios en el espacio reservado en este blog, en el correo electrónico observatorio@inteco.es, o a través de los perfiles @ObservaINTECO en redes sociales Twitter y Facebook).

Artículos relacionados