La ciberseguridad de la cadena de suministro

Tiempo de lectura estimado: 6 minutos

La necesidad de asegurar la cadena de suministro se está viviendo de forma clara en el contexto geopolítico actual, en el que se están afrontando riesgos tecnológicos y no tecnológicos. En España, la Estrategia de Seguridad Nacional de 2021 incluye la vulnerabilidad del ciberespacio como uno de los 16 Riesgos y Amenazas para la Seguridad Nacional, aclarando que la ciberseguridad es una prioridad para organizaciones y gobiernos.

¿Qué es la cadena de suministro de las TIC?

El Consejo de la Unión Europea define este concepto como un conjunto vinculado de recursos y procesos entre los operadores económicos, que comienza con el abastecimiento de materias primas y se extiende a lo largo de la fabricación, el procesado, la manipulación y la entrega de productos y servicios de TIC, incluida la prestación de apoyo durante el ciclo de vida de los productos y servicios de TIC.

El Consejo ha hecho una llamada urgente a la acción a todos los estados miembros debido a los ciberataques más importantes que ha sufrido la Unión Europea en los últimos tiempos. Además, se asegura que es muy probable que en el futuro se produzcan todavía más ataques a las cadenas de suministro, con daños sustanciales para la economía y la sociedad.

ENISA presenta cada año un informe acerca de las ciberamenazas más importantes que influyen en la Unión Europea. En su último informe (noviembre de 2022) se indica que una de las principales amenazas son los ataques a la cadena de suministro, que se realizan tanto por actores apoyados por estados como por grupos cibercriminales, siendo los objetivos principales de estos grupos los proveedores de servicios en la nube. Además, ENISA ha concluido que, en 2030, los ataques a la cadena de suministro serán los mayoritarios.

Recomendaciones y sanciones

En el informe mencionado, ENISA emite una serie de recomendaciones, pero aclara que algunos riesgos no pueden ser atajados con estas prácticas. La Unión Europea tiene desde 2019 un marco legal de sanciones que se pueden aplicar en los casos de ciberataques que amenacen a la UE o a sus estados miembros, que van desde la inmovilización de activos hasta la prohibición de viajar a la UE. Los ciberataques sujetos a estas sanciones son los que suponen amenazas a la seguridad nacional.

Directivas y reglamentos

El Reglamento DORA establece requisitos uniformes para la seguridad de las redes y sistemas de información de las empresas y organizaciones que operan en el sector financiero, así como de terceros esenciales que les presten servicios relacionados con las TIC, como plataformas en la nube o servicios de análisis de datos.

La iniciativa más reciente es la Ley Europea de Ciberresiliencia, que incluye una serie de requisitos obligatorios de ciberseguridad que deben cumplir todos los productos hardware y software durante todo el ciclo de vida antes de introducirse en el mercado.

A modo de conclusión, se puede afirmar que es fundamental que las organizaciones centren su seguridad no solo en sí mismas, sino también en sus proveedores.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras miles de personas desde este enlace.

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.

Ponente: Elena de la Calle

Elena es funcionaria del Cuerpo Superior de Gestión de Sistemas y Tecnologías de la Información. Está destinada en el Departamento de Seguridad Nacional de Presidencia del Gobierno desde 2021 como consejera técnica de Ciberseguridad.