Obtenga las historias más relevantes de
MEJORES PRÁCTICAS cada semana
menú
Tecnologías como internet o el acceso telefónico pueden traerle nuevas amenazas externas a la organización.
Al respecto, la seguridad de los sistemas de control de procesos puede caer en riesgo por parte de terceras partes ―proveedores, organizaciones de soporte y otros eslabones de la cadena de suministro.
Para evitarlo, las terceras partes deben ser incluidos en el programa de seguridad en control de procesos, y la empresa debe tomar medidas para reducir el riesgo asociado.
Antes, los sistemas de control de procesos estaban hechos en casa; ahora, la mayoría son desarrollados por terceros y proveedores especializados. En consecuencia, los productos y servicios de terceros están presentes en casi todos los sistemas de control de procesos. De ahí también se generan una serie de factores de riesgo asociados.
Entonces, es clave considerar activamente al riesgo de terceros para que la organización comience a gestionarlo. De esta manera se puede buscar un compromiso adecuado con los proveedores y las organizaciones de soporte a fin de mitigar el riesgo identificado.
La percepción común del riesgo se centra en las conexiones de acceso remoto a los sistemas de control operativo. Sin embargo, el panorama es mucho más amplio que este detalle técnico; por tanto, este marco necesita una guía de buenas prácticas. Para empezar, debemos considerar lo siguiente:
Existen distintas categorías de terceros: proveedores de sistemas de control, proveedores de soporte, y diferentes elementos de la cadena de suministro ―cada una con sus propios temas relacionados.
Al considerar la vulnerabilidad de los sistemas de control de procesos, se puede omitir fácilmente la importancia de estudiar la cadena completa de suministro. Este es un error, pues aquellos sistemas aparentemente inocuos, que proporcionan soporte, pueden tener un efecto directo o indirecto en los sistemas críticos.
Identificar a los terceros asociados con los bienes de control de procesos permite que la organización planifique y mitigue el riesgo que suponen.
La gestión de los puntos anteriores debe partir de la realización de un inventario de seguridad en el control de procesos, donde cada elemento determine a los terceros asociados con cada elemento. Asimismo, el inventario debe considerar las siguientes cuestiones:
¿Quién es el proveedor del sistema?
¿Quién proporciona soporte?
¿Cómo es el soporte proporcionado?
¿Qué nivel de acuerdos de servicio existe?
¿Cuáles subcontratistas están involucrados?
Se debe tener cuidado de lograr un equilibrio adecuado en la captura de los datos de terceros porque, si se registra demasiado poco, puede que no sea suficiente para un análisis profundo en etapas posteriores. Y si se captura demasiado, será difícil de mantener.
Por otro lado, cuando la información de terceros no tiene suficiente detalle durante el cotejo del inventario, esta información debe buscarse, como parte de este elemento del marco, y añadirse al inventario para mantenerlo actualizado.
Los principios generales de buenas prácticas son los siguientes:
Asegurarse de que las cláusulas de seguridad se detallan en todos los contratos anteriores a los acuerdos.
Involucrar a todos los proveedores para garantizar que cualquier descubrimiento de vulnerabilidades (actual y futuro) en los sistemas de suministro sea identificado y notificado.
Solicitar a los proveedores orientación en seguridad para sus actuales sistemas de control, y una hoja de ruta de seguridad para futuros desarrollos del sistema.
Garantizar que todos los proveedores incorporan protección antivirus dentro de su sistema de control de procesos.
Acordar con los proveedores procedimientos de securización del sistema para los sistemas de control de procesos en operación.
Identificar todas las tecnologías utilizadas en los sistemas de control de procesos para garantizar que se gestionan todas las vulnerabilidades.
Llevar a cabo inspecciones y auditorias periódicas de seguridad de todos los proveedores.
Al mismo tiempo, la creación de un marco contractual correcto es una parte esencial en la gestión del riesgo de los proveedores.
Es probable que los departamentos legales o de adquisiciones ya hayan llevado a cabo gran parte de esta labor, pero es importante garantizar que los contratos con los proveedores incluyan cláusulas específicas de seguridad en control de procesos.
Las cláusulas de seguridad típicas incluyen los siguientes estatutos:
Acuerdo de no divulgación: El proveedor puede tener acceso a información sensible sobre la organización y es esencial que ésta no se explote ni utilice sin el permiso de la organización. Esto incluye desde el conocimiento de las reglas del cortafuegos hasta información del sistema y otra propiedad intelectual.
Divulgación de vulnerabilidades: Es importante que los descubrimientos actuales y futuros de vulnerabilidades sean comunicados por el proveedor al dueño del sistema para que puedan adoptarse las medidas oportunas.
Controles de antecedentes y de seguridad interna: La organización debe pedir garantías a los proveedores de que sus empleados se han sometido a los pertinentes controles de seguridad de antecedentes antes de ser empleados o contratados.
Acreditación de proveedores: Introducir los requisitos de seguridad en el control de proceso en la selección y acreditación del proveedor preferido es un proceso muy poderoso para garantizar que la cultura y el enfoque de seguridad deseados forman parte de las decisiones tomadas. La lista resultante de proveedores aprobados puede ahorrar tiempo y dinero a la organización reduciendo la duplicidad y previendo garantías de los posibles proveedores. Desde la perspectiva de los proveedores, es un incentivo para estar en la lista de proveedores aprobados, ya que puede ser una buena fuente de negocio.
Requisitos de seguridad para nuevos proyectos: Cuando se planean proyectos de nuevos procesos o nuevos sistemas es esencial que la seguridad se incluya desde el principio en las discusiones contractuales, especialmente si participan nuevos proveedores.
Revisiones de seguridad: Deben realizarse revisiones regulares de seguridad con el proveedor para tratar cuestiones de seguridad extraordinarias, el progreso frente a la mitigación y los planes de mejora, y para discutir la hoja de ruta de seguridad.
Al establecer un diálogo productivo con los proveedores de los sistemas de control de procesos, la organización tiene la oportunidad de construir una relación con ellos para comprender mejor las capacidades y limitaciones de los productos y servicios de los proveedores.
Esta relación también permite a la organización comunicar mejor al proveedor sus necesidades específicas de aplicación, y los requisitos asociados de seguridad.
El dr. José Manuel Ballester Fernández cuenta con 35 años de experiencia en informática, seguridad, telecomunicaciones, eficiencia energética y gobierno de las TI. Es socio director de TEAMNOVA; presidente del comité de Buen Gobierno TIC en AENOR; y vicepresidente general de la Academia Mexicana de Ciencia de Sistemas.