Reforcemos el eslabón más débil

Stuart Constable

15/02/2019

Tu seguridad es la misma que la de tu eslabón más débil. Para muchas empresas, este eslabón es la cadena de suministro. Necesitas soluciones con seguridad integrada en cada fase para garantizar que la cadena de suministro de tu seguridad está protegida y cumple los requisitos de principio a fin. Stuart Constable busca el eslabón más débil.

La confianza resulta decisiva en la cadena de suministro

Ya puedes disponer de todos los contratos necesarios y cumplir con todos los requisitos, que como te falte la confianza, la cadena de suministro no funcionará. Cuanto más compleja sea esta, más lejos debe llegar la confianza.

Es posible que un proveedor no llegue a conocer nunca a todos los agentes que participan en el diseño, el desarrollo, la fabricación, el ensamblaje, el envío, la entrega y el mantenimiento de un producto o una solución. Cada relación individual se basa en la confianza entre las partes contratantes, lo que incluye suponer (o, en algunos casos, demostrar) de que todas las relaciones están igual de bien justificadas.

La tecnología de las cadenas de suministro tiene que hacer frente a una dificultad particular: puede verse atacada desde cualquier lugar con relativa facilidad. Los componentes físicos, como almacenes, fábricas o vehículos, no suponen mayor problema (si se produce un robo en un almacén o sufre actos vandálicos, puede derivarse alguna interrupción, pero las demás instalaciones pueden seguir funcionando). Sin embargo, si la infraestructura y las aplicaciones que conectan a los proveedores individuales en la cadena se ven comprometidas en algún momento, la totalidad de la cadena de suministro podría verse afectada sustancialmente. Y todo esto sin que el atacante tenga que salir siquiera de su casa.

Si esa cadena de suministro es la encargada de proporcionar la tecnología de seguridad, el reto es aún mayor. Si estás equipando a los miembros de tu equipo con todos los dispositivos necesarios para que trabajen desde cualquier lugar, debes asegurarte de que cada dispositivo se haya creado conforme a tus estándares de seguridad y especificaciones.

Cualquier dispositivo podría convertirse en una puerta trasera para malware o ataques dirigidos. El problema es que existe un próspero mercado negro de componentes costosos que pueden ser sustituidos por falsificaciones de poca calidad en cualquier fase de la cadena de suministro. Puede que el dispositivo salga de la fábrica después de haber sido elaborado conforme al estándar adecuado, pero que llegue con piezas importantes reemplazadas y que su integridad y seguridad se hayan visto gravemente comprometidas. Y nunca lo sabrás hasta que sea demasiado tarde.

Por eso, en Lenovo hemos convertido la Cadena de Suministro Transparente en una parte fundamental de nuestras relaciones con los clientes. Integramos la seguridad en nuestros productos partiendo de los componentes, con trazabilidad a nivel de sistema y de componente. Todos los proveedores de componentes inteligentes son evaluados y autorizados, y nuestros productos se suministran en un embalaje seguro que permite saber fácilmente si se ha producido alguna manipulación a lo largo de la cadena de suministro.

Los delitos informáticos cambian a una velocidad deliberadamente desconcertante. El próximo ataque de ransomware podría encontrarse a tan solo un clic de distancia, y los ataques DDoS están comenzando a explotar las vulnerabilidades del IoT, potencialmente a gran escala. Además, la seguridad de los dispositivos sigue siendo un problema crítico, ya que los usuarios trabajan cada vez más con dispositivos tanto personales como de la empresa.

Además de la Cadena de Suministro Transparente, el sistema de gestión de seguridad de productos de Lenovo está configurado para reforzar la seguridad a lo largo del ciclo de vida del producto, desde el desarrollo y la fabricación hasta la asistencia al cliente. Hacemos todo lo posible para garantizar que la seguridad esté integrada en nuestros productos.

La supervisión y gestión de la seguridad de los productos se integran en este proceso para contribuir a garantizar que el desarrollo de los mismos sigue procesos adecuados y seguros, especialmente en la distribución y creación de firmware y BIOS.

A lo largo de los procesos de desarrollo y prueba, el programa de piratería ética de Lenovo proporciona información sobre problemas que podrían experimentar los clientes para que puedan corregirse antes del envío. También invertimos en programas de formación continua para ayudar a garantizar que el personal concernido esté al día sobre cuestiones fundamentales en materia seguridad.

La imaginación es el único límite de la malicia y los delitos. Por eso, debemos adoptar un enfoque igual de imaginativo, comenzando por los atributos más humanos: la confianza y la vulnerabilidad humana. Cualquier eslabón de la cadena de seguridad, ya sea un proveedor, una actualización de software o un usuario descuidado, debe considerarse como una potencial debilidad.

Hemos convertido este enfoque integral en un principio fundamental de nuestra estrategia de fabricación y cadena de suministro. Eso significa que la confianza depositada en nosotros como proveedores se ve respaldada por la adopción demostrable y sistemática de prácticas recomendadas que mantienen los riesgos para nuestros clientes en niveles mínimos, de principio a fin.

La oficina de cara a 2020

Todo lo que necesitan saber las organizaciones del siglo XXI.