La cadena de suministro ¿qué obligaciones, en materia de ciberseguridad, tienen tanto quién le contrata, como ella misma? La cadena de suministro TIC es un eslabón crítico en la seguridad digital de las organizaciones porque cualquier vulnerabilidad introducida en algún punto del proceso puede comprometer toda la infraestructura de una entidad, empresa, operador esencial o usuario final. Por ello, regulaciones como el Esquema Nacional de Seguridad (ENS), la Directiva NIS2 o el RGPD y LOPDyGDD (normativa de Protección de Datos), ponen énfasis en la gestión de riesgos de la cadena de suministro, asegurando que todos los actores involucrados cumplan con estándares de ciberseguridad robustos y prácticas que fortalezcan la protección y resiliencia.
Es verdad, que no todas lo hacen de una forma similar, pues no todas incluyen a la cadena de suministro como sujeto obligado; por ejemplo, están en el alcance subjetivo tanto en el ENS, como en Protección de Datos, pero no así en la NIS2. En el primer grupo, el proveedor siente la presión tanto de quién le contrata como de la autoridad de supervisión, mientras que en el segundo la obligación recae directamente en la empresa contratante (entidad pública, operador esencial o importante, o empresa) y por tanto, la cadena de suministro, debe ser supervisada sólo por el operador
En definitiva, ENS, Normativa de Protección de Datos, NIS2, contratos o legislaciones sectoriales, establece obligaciones (directas o indirectas) y nos animan a tener como uno de los focos de la ciberseguridad a la cadena de suministro.
Obligaciones de los Operadores Esenciales
Los operadores esenciales deben establecer políticas claras y exhaustivas que regulen las relaciones con los proveedores, con el objetivo de mitigar riesgos de ciberseguridad. Estas políticas deben contemplar varios aspectos clave:
- Identificación y comunicación del rol en la cadena de suministro: Es fundamental que los operadores definan su posición como cliente, proveedor o socio dentro de la cadena, especificando su relevancia en términos de ciberseguridad (¿cómo de importante es para la provisión que yo hago de mís servicios?).
- Directorio de proveedores: La información del punto anterior, alimentará parte de esta necesidad; directorio de proveedores. Es obligatorio mantener un registro actualizado de los proveedores directos y clasificar su criticidad, diferenciando entre aquellos críticos, estratégicos o de rutina. En este Directorio, deberemos tener identificado para cada uno de ellos, el Punto de contacto de seguridad (ver ENS).
- Contratación basada en estándares reconocidos: Los contratos con proveedores deben incluir cláusulas que establezcan puntos de contacto específicos en materia de seguridad, requisitos técnicos de ciberseguridad, y obligaciones de notificación de incidentes. Entre esos requisitos deberemos incorporar análisis de riesgos, formación y capacitación, certificación del personal y productos, procesos de gestión de vulnerabilidades, derechos de auditoría, y procesos para una terminación segura de contratos, entre otros (Por ejemplo, para la NIS2: ver la Directiva hasta la publicación de la trasposición, reglamento de ejecución y guía de implementación de este acto de ejecución)
- Supervisión continua: Una vez establecidos los acuerdos, los operadores deben monitorizar el cumplimiento de los mismos, revisar las políticas de seguridad regularmente y tras incidentes, y realizar análisis de riesgos continuos. Esto incluye supervisar los Acuerdos de Nivel de Servicio (SLA) para asegurar que los productos y servicios proporcionados cumplen con los estándares establecidos.
Obligaciones de los Proveedores de la Cadena TIC
Los proveedores de la cadena de suministro TIC, en su papel como actores críticos, tienen también responsabilidades clave para cumplir con los requisitos de NIS2. Estas incluyen:
- Políticas internas de seguridad: Los proveedores deben implementar políticas de seguridad que incluyan medidas específicas para gestionar riesgos en sus propias cadenas de suministro. Esto debe basarse en estándares internacionales y/o nacionales.
- Mitigación de riesgos: Las políticas deben enfocarse en identificar y mitigar riesgos inherentes a los productos y servicios proporcionados, asegurando que cumplen con los niveles de calidad y resiliencia exigidos.
- Evidencias documentales: Es imprescindible conservar registros de cumplimiento, como contratos, evaluaciones de riesgos y comunicaciones documentadas, para facilitar auditorías y responder a posibles incidentes.
- Notificación y Gestión de incidentes. La diligencia en la detección, notificación a sus clientes y autoridades, junto con la eficacia y eficiencia en el tratamiento de incidentes, así como en la recuperación de los sistemas y servicios, son aspectos cruciales y regulados.
Con estas regulaciones, España, Europa, debe avanzar hacia un ecosistema digital más seguro y resiliente, donde la gestión de riesgos en la cadena de suministro TIC se posiciona como un elemento estratégico para la protección de servicios esenciales y la confianza digital.
Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de Autelsi
Deja tu comentario