Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Cómo ha evolucionado la seguridad de la cadena de suministro durante dos décadas

En octubre de 2018, los términos seguridad de la cadena de suministro y seguridad de la cadena de suministro cibernético fueron temas clave de muchos titulares de noticias.

Bloomberg Businessweek informó que en una investigación de algunas placas base encontradas en servidores ampliamente utilizados se había infiltrado un chip (del tamaño de un grano de arroz) que no estaba incluido en el diseño original de la placa de circuito. La supuesta infiltración parecía haber sido realizada por operativos militares chinos y permitió la supervisión y el control remotos de las juntas y sus servidores asociados. [Editor’s note: the Bloomberg Businessweek article has since come under intense scrutiny from infosec experts and journalists].

Más tarde, en octubre de 2018, la Comisión Reguladora de Energía Federal de EE. UU. (FERC) aprobó oficialmente un nuevo estándar para la industria de energía eléctrica de América del Norte. El estándar de protección de infraestructura crítica, denominado «CIP-013-1 – Seguridad cibernética – Gestión de riesgos de la cadena de suministro», se emitió para abordar «… riesgos de seguridad cibernética para el funcionamiento confiable del Sistema eléctrico a granel (BES) mediante la implementación de controles de seguridad para la gestión de riesgos de la cadena de suministro de BES Cyber ​​Systems «.

El concepto de seguridad de la cadena de suministro no es nuevo. Si bien surgió en la época de los ataques terroristas del 11 de septiembre de 2001, los aspectos cibernéticos están recibiendo atención recientemente.

La historia de las reglas y pautas de la cadena de suministro

Antes de los ataques del 11 de septiembre de 2001, las discusiones comunes sobre la gestión de riesgos de la cadena de suministro tuvieron lugar principalmente en las industrias de seguros y gestión de riesgos. Por ejemplo, existía preocupación sobre si los envíos de especias estaban protegidos contra pérdidas debidas a fuerza mayor, piratería u otras amenazas. Sin embargo, no existía una metodología sistemática para analizar los riesgos de los envíos.

Después del 11 de septiembre, la seguridad de la cadena de suministro comenzó a evolucionar hacia un enfoque más estructurado y metodológico. Sin embargo, el enfoque desde 2001 hasta aproximadamente 2006 se centró principalmente en la seguridad física de los envíos, y la ciberseguridad no era una necesidad según las reglas y pautas. Desde 2012, ha habido una mayor conciencia y énfasis en la ciberseguridad en el proceso de la cadena de suministro.

Se puede visualizar esta evolución de la gestión de riesgos de la cadena de suministro física a la cibernética con el cronograma que se muestra en la Figura 1.

Cronograma de seguridad de la cadena de suministro

Fase uno: seguridad de la cadena de suministro física

El mundo de la seguridad y la gestión de amenazas cambió sustancialmente después de 2001. No solo hubo una mayor sensibilidad a la seguridad del transporte, como la seguridad de los aeropuertos y la Administración de Seguridad del Transporte, sino que también aumentó la preocupación por la seguridad marítima, especialmente los envíos en contenedores que podrían contener Armas de destrucción masiva.

Desde el principio, el Congreso implementó la Ley de Seguridad del Transporte Marítimo de 2002. La ley ordenó a la agencia de Aduanas y Protección Fronteriza (CBP) de los EE. UU. Promulgar las regulaciones necesarias para asegurar mejor las actividades marítimas como los planes de seguridad de los barcos y las evaluaciones de la seguridad de los puertos. Sin embargo, esto aún dejaba un vacío en la forma en que se rastreaban, rastreaban y monitoreaban los propios envíos para garantizar que no se modificaran durante el envío.

En 2006, se promulgó la Ley de Puerto Seguro. Esta ley también codificó los programas de seguridad física de la CBP, como la Asociación Aduana-Comercial contra el Terrorismo (C-TPAT) y la Iniciativa de Seguridad de Contenedores. Esta ley incluyó nuevas regulaciones para asegurar a los operadores portuarios que la integridad del contenido de un contenedor no se modificó en tránsito. Esta ley incluyó la inspección de contenedores y su contenido en puertos extranjeros antes de que fueran cargados y colocados en barcos con destino a los EE. UU.

Como se observa en el libro Seguridad de la cadena de suministro global por James R. Giermanski, C-TPAT realmente comenzó a crear conciencia sobre el concepto de una cadena de suministro internacional y su importancia para la seguridad de los envíos desde el inicio del llenado hasta la llegada al puerto de entrada.

Sin embargo, C-TPAT y la Iniciativa de Seguridad de Contenedores todavía estaban enfocados en la integridad física de los envíos y no en la ciberseguridad de los productos electrónicos.

Fase dos: seguridad de la cadena de suministro cibernética

Después de una espera de seis años, el nuevo énfasis en la seguridad de la cadena de suministro surgió primero con la Estrategia Nacional de Estados Unidos para la Seguridad de la Cadena de Suministro Global, un proyecto de ley firmado por el entonces presidente Barack Obama. Esta estrategia enfatizó que los esfuerzos anteriores aún eran importantes, pero que debía haber un nuevo enfoque en la seguridad cibernética en la cadena de suministro.

El trabajo posterior en 2012 y 2015 continuó ampliando el concepto de seguridad física y cibernética de la cadena de suministro. Dicha guía incluía «NIST IR 7622: Prácticas de gestión de riesgos de la cadena de suministro nocionales para sistemas de información federales» y «NIST SP 800-161: Prácticas de gestión de riesgos de la cadena de suministro para organizaciones y sistemas de información federales».

NIST IR 7622 ofrece algunas pautas sugeridas y «… métodos de aseguramiento de la cadena de suministro repetibles y comercialmente razonables … y visibilidad en toda la cadena de suministro». NIST SP 800-161 cubre los conceptos de NIST IR 7622, ​​pero incluye pautas más específicas que deben seguir las agencias federales de EE. UU. Para identificar, evaluar y mitigar los riesgos de la cadena de suministro de tecnología de la información y las comunicaciones (TIC).

Paralelamente al lanzamiento de NIST SP 800-161, el Utilities Telecom Council publicó una guía de la cadena de suministro de ciberseguridad específicamente para las empresas eléctricas en su documento «Cyber ​​Supply Chain Risk Management for Utilities – Roadmap for Implementation». Este informe ofreció ideas y enfoques para que las empresas de servicios eléctricos se organicen y se acerquen a los proveedores cibernéticos y minimicen los riesgos de seguridad cibernética.

Este énfasis en la ciberseguridad de la cadena de suministro no es exclusivo de EE. UU. La Agencia de la Unión Europea para la Seguridad de las Redes y la Información (ENISA) publicó su propia descripción general de los riesgos de la cadena de suministro de las TIC en agosto de 2015. El resumen de ENISA sobre la preocupación está bien expresado:

Los gobiernos, las empresas, las organizaciones y los consumidores dependen cada vez más de los productos y servicios de las TIC y, por tanto, de las cadenas de suministro que los suministran. Como resultado de esta dependencia, las amenazas a las cadenas de suministro han atraído más atención, incluida la amenaza de manipulación intencional durante el desarrollo, la distribución o las operaciones, o la amenaza de sustitución con componentes falsificados (incluidos los clonados o sobreproducidos) antes o durante la entrega, y los ataques contra la economía a través de la cadena de suministro.

Y, como se mencionó anteriormente, FERC acaba de aprobar un nuevo estándar para la gestión de riesgos de la cadena de suministro cibernético, CIP-013-1, que la mayoría de las empresas eléctricas de América del Norte deben cumplir dentro de los 18 meses posteriores a su aprobación, o alrededor de abril de 2020.

Hoy en día, no es raro ver que muchas empresas eléctricas ya solicitan el apoyo de los proveedores a través de solicitudes de propuestas para desarrollar programas efectivos y adecuados para cumplir con estos nuevos requisitos.

que tan grande es el problema?

Este problema es global y se vuelve más desafiante a medida que los ciberataques de la cadena de suministro se vuelven más sofisticados. Pero este no es un problema nuevo, ya que ha habido casos de problemas de seguridad en la cadena de suministro a partir de 2008.

Por ejemplo, en 2008, SANS emitió una advertencia de que algunos marcos de fotos digitales vendidos en Walmart habían sido infectados por un virus. Informes similares sobre este período de tiempo indicaron que BestBuy tenía problemas similares con algunos marcos de fotos digitales.

SANS también informó en su serie Digital Hitchhikers que recibió informes de contaminación de malware en reproductores MP3, cámaras de video, discos duros externos y unidades USB. SANS dijo: «Cualquiera sea la causa, parece haber algún tipo de falla en la seguridad de la cadena de suministro».

También en 2008, el mencionado anteriormente Bloomberg Businessweek El informe planteó preocupaciones sobre cómo se estaban instalando chips y dispositivos de computadora falsificados y defectuosos de China en los buques de guerra y los aviones de combate estadounidenses. En un ejemplo citaron, «… un chip identificado falsamente como hecho por Xicor … fue descubierto en la computadora de vuelo de un avión de combate F-15 en la Base de la Fuerza Aérea Robins en Warner Robins, GA». El 409thEl escuadrón Supply Chain Management confirmó que encontraron cuatro chips Xicor falsificados.

Más tarde, en febrero de 2017, Microsoft informó de un ciberataque en la cadena de suministro en el que los atacantes «comprometieron los servidores de actualización para una herramienta de edición de terceros sin nombre». Básicamente, esto permitió que las actualizaciones de software para los servidores inyectaran malware sin que los usuarios lo supieran.

Ese mismo año, la Agencia de Defensa contra Misiles de EE. UU. Informó que aparecieron circuitos integrados falsificados en inventarios de piezas de repuesto, equipos de antenas de aviación de la Armada de EE. UU. Y sistemas de visión nocturna de helicópteros.

En un documento técnico llamado «Circuitos integrados falsificados: detección, evitación y desafíos futuros», un equipo de investigadores enumeró las formas en que los circuitos integrados falsificados pueden introducirse en la cadena de suministro cibernético. Estos métodos incluyen el uso de:

  • virutas recicladas / reutilizadas que se desecharon originalmente;
  • chips remarcados / reetiquetados;
  • venta de chips defectuosos o fuera de especificación;
  • chips clonados o copiados;
  • certificados de conformidad falsificados para los chips suministrados; y
  • chips alterados.

Por dónde empezar y cómo proteger a su empresa

La mayoría de las empresas eléctricas de América del Norte están obligadas a cumplir con CIP-013-1 y «… desarrollar uno o más planes documentados de gestión de riesgos de seguridad cibernética de la cadena de suministro para los sistemas cibernéticos BES de impacto medio y alto». El gobierno federal de los EE. UU. Está obligado a cumplir con NIST SP 800-161. Estos son buenos puntos de partida para todas las empresas. Sin embargo, existen otras consideraciones.

Es importante comprender la cadena de suministro de su empresa. Comprenda cómo funciona la cadena de suministro con los proveedores, sus proveedores, los mecanismos de transporte / envío, cómo recibe e inspecciona los productos solicitados, cómo y dónde almacena los productos, etc. Básicamente, comprenda dónde están los puntos de inyección y dónde se pueden realizar cambios en la integridad física, del software y del firmware.

También es necesario comprender su estrategia de adquisiciones. ¿Cómo califica su empresa a sus proveedores? ¿Cómo se verifica a los proveedores para asegurarse de que tienen un programa de seguridad y lo siguen?

Asegúrese de saber quiénes son los usuarios del producto final de su cadena de suministro. Por ejemplo, ¿estos usuarios simplemente conectan y reproducen el dispositivo en los sistemas sin inspección ni endurecimiento, o inspeccionan la pieza en busca de alteraciones y verifican que la pieza o el subsistema esté actualizado con una nueva contraseña y esté parcheado?

Mapee todos los actores de su cadena de suministro e incluya a los proveedores de su proveedor si puede. Una vez hecho esto, revise el mapeo y el flujo de la cadena de suministro e identifique las amenazas y vulnerabilidades. Luego, actúe para remediar estos riesgos.

Establezca procesos para revisar los riesgos físicos y cibernéticos de la cadena de suministro de forma continua y mejore constantemente las metodologías utilizadas para reducir las posibilidades de piezas / subsistemas falsificados o defectuosos.

Tenga en cuenta la dependencia de estándares como el estándar de proveedor de tecnología de confianza abierta y el foro de garantía de software para la excelencia en el código. Verifique y anime a sus proveedores a adherirse a estos estándares y, si es posible, obtener la certificación de cumplimiento.

El futuro de la seguridad de la cadena de suministro

Con la aprobación oficial de CIP-013-1, las ramificaciones del supuesto ataque a las placas de circuito del servidor según lo informado por Bloomberg Businessweeky el aumento de las preocupaciones sobre la integridad y la legitimidad del software, será muy sorprendente que la seguridad de la cadena de suministro se convierta en una moda. Pronto habrá más pautas, estándares y listas de verificación desarrolladas y promulgadas para ayudar a diferentes sectores de la industria e infraestructura crítica a proteger mejor sus procesos de compras y cadena de suministro.

También te puede interesar...

¿Qué es un LUN (número de unidad lógica)?

Un número de unidad lógica (LUN) es un identificador único para designar a un individuo o una colección de dispositivos de almacenamiento físicos o virtuales que ejecutan comandos de entrada / salida (E / S)

¿Qué es CompTIA Cloud Essentials?

CompTIA Cloud Essentials es una certificación de nube de nivel básico e independiente del proveedor que evalúa a los administradores en los siguientes conocimientos: Características de los servicios en la nube desde una perspectiva empresarial.

Particionamiento y licencias de Oracle

Una consulta sobre las licencias de partición. Si mi empresa tiene 1000 NUP (licencias de usuario con nombre más) para particionar, ¿cómo compruebo si se utilizan todas o si necesito más al agregar una nueva

Cinco mejoras de SQL 2017 que debe conocer

Es posible que Microsoft haya cambiado la estrategia de análisis e inteligencia empresarial de todas las organizaciones empresariales. La compañía acaba de anunciar las características de próxima generación de SQL 2017, presentando algunos de los

¿Qué es la sobreasignación de memoria de VMware?

La sobreasignación de memoria es la función de asignación de memoria para Vmware. La sobreasignación de memoria de VMware funciona tomando recursos compartidos de máquinas que no los utilizan y asignando esos recursos compartidos a

¿Qué es un cmdlet y cómo funciona?

Un cmdlet – pronunciado comando-dejar – es un comando pequeño y liviano que se usa en el entorno de Windows PowerShell. Un cmdlet normalmente existe como un pequeño script que está diseñado para realizar una

Una cronología de la historia del aprendizaje automático

El aprendizaje automático, una aplicación de inteligencia artificial (IA), tiene algunas capacidades impresionantes. Un algoritmo de aprendizaje automático puede hacer que el software sea capaz de realizar un aprendizaje sin supervisión. Sin ser programado explícitamente,

Impacto de las redes Neutron en VMware Integrated OpenStack

VMware Integrated OpenStack integra diferentes componentes de OpenStack en VMware, lo que permite a los administradores administrar e implementar fácilmente los servicios de OpenStack desde la interfaz de vSphere Web Client. Uno de estos componentes

3 formas de abordar la explosión de la nube

La explosión de la nube utiliza la gran escala de la nube pública, la disponibilidad bajo demanda y los precios de pago por uso. Permite… organizaciones para trasladar las cargas de trabajo a la nube

Recuperación ante desastres en la nube: un nuevo mundo

¡Gracias por unirte! Accede a tu Pro+ Contenido a continuación. La recuperación ante desastres en la nube pone efectivamente DR al alcance de cualquier organización, gracias al costo relativamente bajo y una menor necesidad de

¿Qué es Salesforce Knowledge Sidebar?

Una barra lateral de conocimiento es una pantalla en una consola de Salesforce que trae artículos relevantes de conocimiento de Salesforce. En particular, la barra lateral solo se muestra para los usuarios de Salesforce Knowledge

¿Qué es una organización de atención responsable (ACO)?

Una organización de atención responsable (ACO) es una asociación de hospitales, proveedores de atención médica y aseguradoras en la que todas las partes asumen voluntariamente la responsabilidad financiera y médica de los pacientes de Medicare.

¿Qué es el algoritmo de cifrado Twofish?

¿Qué es Twofish? Twofish es un cifrado de bloque de clave simétrica con un tamaño de bloque de 128 bits y una clave de longitud variable de 128, 192 o 256 bits. Este algoritmo de

¿Qué es el Protocolo de descubrimiento de Cisco?

El Cisco Discovery Protocol, anteriormente conocido como Cisco CDP, es un protocolo de capa 2 que se utiliza para obtener, aprender y compartir información y datos sobre otros equipos de Cisco conectados directamente en las

Migración de una tabla DB2 a un archivo plano

Estamos intentando exportar datos de una tabla DB2 a un archivo plano con el siguiente comando: db2 -tvf archivo.sql -z archivo.out Pero muestra la salida como se muestra a continuación (es decir, produce una salida

¿Qué es la inteligencia de riesgos (RQ)?

La inteligencia de riesgo (RQ) es la capacidad de una organización para recopilar información que identificará con éxito las incertidumbres en el lugar de trabajo. Un objetivo importante de la inteligencia de riesgos es ayudar

¿Qué es GitOps y por qué es importante?

GitOps es un paradigma diseñado en torno a Kubernetes que permite a los desarrolladores y equipos de operaciones de TI usar Git para la administración de clústeres y la entrega de aplicaciones. La aplicación de

¿Qué es 3-D (tridimensional o tridimensional)?

En las computadoras, 3-D (tridimensional o tridimensional) describe una imagen que proporciona la percepción de profundidad. Cuando las imágenes en 3-D se hacen interactivas para que los usuarios se sientan involucrados con la escena, la

¿Cómo uso SR-IOV para máquinas virtuales Hyper-V?

Muchos administradores virtuales aún no están familiarizados con la virtualización de E/S de raíz única que Microsoft introdujo en Windows Server 2012 Hyper-V. La especificación SR-IOV fue diseñada por PCI-SIG para permitir que un dispositivo

¿Qué es la gestión de riesgos de proveedores (VRM)?

La gestión de riesgos de proveedores (VRM) es un plan integral para identificar y disminuir las posibles incertidumbres comerciales y responsabilidades legales con respecto a la contratación de proveedores externos para productos y servicios de

Lanzar un programa piloto de VDI

Fuente: zenzen/stock.adobe.com Redactor visual: sarah evans Después de que los profesionales de TI encuentren la estructura de VDI, el proveedor y el dispositivo de punto final correctos, deben ejecutar un programa piloto de VDI que

¿Qué es IMS (Sistema de Gestión de la Información)?

IMS (Information Management System) es un sistema de gestión de transacciones y bases de datos que IBM introdujo por primera vez en 1968. Desde entonces, IMS ha experimentado muchos cambios para adaptarse a nuevas herramientas

Los socios de MSP revelan cómo pasaron

Bill Saltys compara pasar por una auditoría de Amazon Web Services (AWS) para convertirse en Managed Service Partner (MSP) con correr un maratón. «Fue un interrogatorio agotador», dijo Saltys, vicepresidente de operaciones y desarrollo comercial

Cómo construir una estrategia de colocación exitosa

Cuando las organizaciones deciden implementar una estrategia de colocación, simplemente no pueden firmar un contrato y comenzar a mover hardware. Deben definirse los objetivos y elaborarse una lista de verificación de evaluación para evitar seleccionar

Información y recursos financieros de ERP

Finanzas ERP Noticias Finanzas ERP Empezar Ponte al día con nuestro contenido introductorio Financiación a la Cadena de Suministro El financiamiento de la cadena de suministro es un conjunto de procesos comerciales y financieros habilitados

Deja un comentario