Circula por redes sociales un rumor que dice que, en cierto idioma exótico, CISO significa “a quien se despide tras un incidente” ¿Tiene razón este rumor? ¿Debe ser responsable único por cualquier ciberincidente de una organización? ¿Hay otras figuras con responsabilidad? ¿Hay una Shadow Supply Chain?

Antes de responder a estas preguntas, revisemos los últimos ciberincidentes de amplia repercusión en medios. En marzo de 2024 el proveedor de almacenamiento en nube Snowflake tuvo una fuga de información, que se manifestó en mayo al filtrarse información de grandes empresas españolas e internacionales a la que se acusó de no cuidar sus datos ni los de sus clientes. El Observatorio AUTELSI de Privacidad y Derechos Digitales lo narró en detalle.

Posteriormente, el 12 de julio un fallo en la actualización del software antimalware Crowdstrike produjo una caída inmediata de múltiples equipos en muchas empresas, provocando la interrupción de sus servicios. Aunque la recuperación de estos equipos pudo realizarse en horas, el impacto en la sociedad fue notable.

Hay un patrón común en estos incidentes: Un fallo en un proveedor crea un incidente en otra organización. Puede ser cualquier fallo: un proveedor de servicio de almacenamiento en nube pública o un producto de seguridad desplegado en puestos y equipos. Para tratar de controlar los riesgos derivados de sus proveedores, muchas organizaciones involucran a los CISOs y a los CIOs en el aseguramiento de su cadena de suministro ¿Lo están logrando? Estos incidentes señalan que no siempre. Pero ¿Tienen CISO y CIO siquiera capacidad para gestionar los riegos de los proveedores? 

Un proceso de compra involucra a múltiples y variados participantes: áreas internas que compran, posibles suministradores, por supuesto el área de compras, y también otros participantes como las áreas jurídicas, de cumplimiento, privacidad …. Y de seguridad. En ocasiones, hay más actores que formalmente no participan pero que pueden influir.

Con tal variedad de figuras, ¿Quién toma realmente la decisión final de compra? ¿Qué peso tiene cada figura en la decisión? ¿Es un porcentaje de voto o capacidad de veto? ¿Se respetan los vetos o se invita a que se reevalúen?

La experiencia informalmente acumulada señala que el CISO (y el CIO y otros responsables) tienen una capacidad de veto limitada. Sobre el papel, pueden ejercerlo. En la práctica, deben responder recurrentemente a frases como “Es el mejor precio/descuento”, “llevamos años trabajando con ellos”, “son proveedor único”, “se veta por detalles menores”, “no hay presupuesto para otras alternativas”, y otras que el lector seguro recuerde. En el peor caso, ni siquiera participan en la compra, generando un “Shadow Supply” en la organización compuesto por proveedores que ni CISO ni CIO saben que se están usando.

Y así, en ocasiones, se compran productos de insuficiente seguridad, que implícitamente conllevan riesgos de futuros incidentes. Sin registrar en muchos casos quien aceptó este riesgo.

¿Qué cambios deben aplicar las organizaciones para mejorar? Dos, en mi opinión

  • Las áreas de compras deben interiorizar que el factor diferencial de un proveedor es la calidad. Primar el precio conlleva más riesgos para la empresa, que tendrá peor protección ante ataques y tendrá más dinero para ser robado tras un ataque exitoso.
  • Deben rediseñarse los procesos de evaluación de la seguridad de proveedores. Los procesos basados en formularios kilométricos consumen demasiado tiempo y recursos cualificados a demasiados proveedores, sin que finalmente quede claro qué riesgos supone el proveedor y quien los asume en la organización

La seguridad es una tarea de toda la organización.

Este análisis demuestra que no se puede considerar al CISO o al CIO como responsables únicos de ciberincidentes. Es más, todas las organizaciones declaran solemnemente que la seguridad es una tarea de toda la organización. Con independencia de otras responsabilidades in vigilando, cualquier parte de la organización que no haya contribuido adecuadamente puede ser responsable de un incidente. Aquel que no haya sido diligente, no solo CISO o CIO.

Mariano J. Benito, CISO, GMV Secure eSolutions y miembro Grupo Seguridad AUTELSI.