La decisión de Trump de prohibir a Huawei es una llamada de atención para los ejecutivos de TI
La decisión de la administración Trump de prohibir efectivamente los productos Huawei de las redes estadounidenses tiene grandes implicaciones para los ejecutivos de TI a cargo del abastecimiento y la seguridad de la cadena de suministro.
La represión de la administración Trump sobre la seguridad de la cadena de suministro, seguida por el anuncio del Departamento de Comercio de Estados Unidos de prohibir efectivamente las ventas al gigante chino de telecomunicaciones Huawei Technologies Co, tendrá implicaciones para una amplia gama de empresas estadounidenses, según los expertos del sector tecnológico.
«El objetivo de esta acción es claramente dirigirse a Huawei. Pero su amplia referencia y su vaga redacción abren la puerta a una inspección más amplia de la cadena de suministro de tecnología de Estados Unidos. Cualquier ejecutivo cuya compañía se abastezca de cualquier parte de su cadena de suministro en China debe preocuparse por esto», dijo Laura Sallstrom, directora global de datos y confianza de Access Partnership, una consultora global de políticas públicas para el sector tecnológico.
La administración Trump, al declarar una emergencia nacional, emitió una orden ejecutiva (EO) sobre la seguridad de la cadena de suministro de la infraestructura crítica de tecnología de la información y las comunicaciones. El DPE otorga al gobierno el poder de prohibir la tecnología y los servicios a los «adversarios extranjeros» que suponen un «riesgo inaceptable» para la seguridad nacional, incluido el espionaje económico e industrial. El Departamento de Comercio tiene 150 días para revisar los reglamentos. En una acción separada, el Departamento de Comercio dijo que estaba agregando a Huawei a la Lista de Entidades de la Oficina de Industria y Seguridad, haciendo ilegal que la compañía y sus afiliados compren tecnología estadounidense sin la aprobación del gobierno de Estados Unidos.
Aunque se desconocen los detalles y el alcance del OE y el anuncio de seguimiento para prohibir las ventas de Huawei, el cambio de política, que se produce en medio de una guerra comercial prolongada entre China y Estados Unidos, podría afectar a las empresas estadounidenses de diversas maneras, incluyendo nuevas y estrictas regulaciones de cumplimiento, dijeron los expertos y ejecutivos en tecnología.
Al principio, las acciones de la administración pondrán límites a las compañías estadounidenses que venden chips y tecnología a Huawei. Pero las regulaciones también podrían restringir a las compañías que podrían usar productos chinos, desde proveedores de infraestructura crítica, como agua y electricidad, hasta compañías de salud y de telecomunicaciones. La redacción también sugiere que el EO podría tener ramificaciones para las compañías que han instalado routers Huawei para reemplazar equipos Cisco más caros, dijo Sallstrom.
Añadió que le preocupa la redacción del DPE que hace referencia a «servicios diseñados [y] desarrollados» y que cita a cualquier persona extranjera «controlada por, o sujeta a la jurisdicción o dirección de un adversario extranjero». Esto podría significar que el «gran ingeniero ruso que acabas de contratar» podría poner tu negocio en la línea de fuego, dijo.
Charlie Dai, analista principal de Forrester Research, subrayó que el impacto inmediato de las acciones de esta semana será en las empresas que hacen negocios con Huawei y ZTE, pero en el futuro, los consumidores estadounidenses podrían encontrarse pagando más por una variedad de productos.
«Las empresas chinas como Huawei y ZTE tienen una presencia comercial muy limitada en Estados Unidos; sin embargo, los chipsets de hardware, dispositivos y equipos de las empresas estadounidenses son muy importantes para sus operaciones comerciales», dijo Dai. En noviembre pasado, Huawei informó que 33 de sus 92 proveedores principales eran de los Estados Unidos.
El EO también podría impactar a otros proveedores de equipos 5G, dijo Dai. Huawei tiene amplios acuerdos de licencias cruzadas de patentes en todo el ecosistema 5G. Si estos acuerdos se ven afectados por el EO, el rendimiento y el costo del equipo de los proveedores que pierden el acceso a las patentes de Huawei podrían verse afectados.
Prohibición de Huawei, EO una llamada de atención
Para los ejecutivos de TI dentro y fuera de la industria tecnológica, el EO podría servir como una llamada de atención muy necesaria para examinar la seguridad de la cadena de suministro, dijo Mat Newfield, CISO de Unisys.
«La falta de seguridad en la cadena de suministro conlleva riesgos significativos, y es importante que las empresas tomen las medidas adecuadas para comprender y mitigar dichos riesgos. Para las empresas que han ignorado la seguridad de la cadena de suministro, la emisión de la orden ejecutiva probablemente servirá como un momento uh-oh», dijo.
Newfield señaló que el gobierno de Estados Unidos ya ha emprendido esfuerzos similares para asegurar la cadena de suministro de los contratistas, y un elemento clave de esos esfuerzos es la responsabilidad de los contratistas de comprender y mitigar los riesgos de su cadena de suministro. Para que los ejecutivos de TI desarrollen estrategias significativas de la cadena de suministro, la comunicación abierta entre el gobierno y la industria será crítica.
Las regulaciones que serán eliminadas en los próximos meses tendrán que ser más claras sobre qué tipos de equipos fabricados en China serán permitidos. El gobierno de Estados Unidos también tendrá que ser más exacto al comunicar a la industria qué equipos o servicios están prohibidos. Los reglamentos también deberán conciliarse con los esfuerzos regulatorios en curso, y los reglamentos finales deberán elaborarse de manera que den lugar a prácticas óptimas comprensibles y aplicables.
«En última instancia, es importante que los contratistas comprendan los riesgos que las vulnerabilidades de la cadena de suministro representan para las misiones del gobierno. Los contratistas existen para ayudar a apoyar esas misiones de una manera segura. Por lo tanto, debemos considerar nuestro papel como socio del gobierno en el logro de esos objetivos, lo que incluye la aportación de los contratistas sobre las mejores prácticas existentes que deberían adoptarse», dijo Newfield.
Nuevas oportunidades de negocio: auditorías de la cadena de suministro
Mike O’Malley, vicepresidente de estrategia de Radware, un proveedor de servicios de ciberseguridad, dijo que el EO podría acabar afectando a otros proveedores chinos además de a Huawei. Dijo que los ejecutivos de TI que hacen negocios con el gobierno federal probablemente necesitarán verificar que ningún equipo provenga de países en los que el gobierno extranjero pueda obligar al proveedor a espiar a sus clientes. También se les puede exigir que verifiquen mediante pruebas que no existen puertas traseras que permitan a una entidad extranjera grabar en secreto cargas útiles de voz y datos.
Los nuevos requisitos podrían crear oportunidades de negocio para los proveedores de servicios de TI, tanto para las redes de auditoría como para verificar el cumplimiento y actualizar los servicios para sustituir los equipos potencialmente vulnerables.
Por ejemplo, Unisys está trabajando en una tecnología que permitirá rastrear la cadena de suministro hasta el diseñador de un chip en un dispositivo determinado. Esto implica un sistema de certificado y libro mayor en el que cada paso -diseño del chip, fabricación del chip, ensamblaje del dispositivo, compra, uso- sería firmado e incluido en una lista digital de materiales con cada dispositivo. Si los reguladores adoptaran un sistema de este tipo para los sectores de infraestructura crítica, la cadena de suministro del proveedor podría ajustarse fácilmente para cumplir, dijo Chris Blask, director mundial de seguridad industrial y de IO de Unisys.
Katherine Gronberg, vicepresidenta de asuntos gubernamentales de Forescout Technologies, un proveedor de soluciones de seguridad, también señaló la necesidad de tecnología de cumplimiento para hacer cumplir las políticas. Crear prohibiciones sobre productos específicos es una cosa, pero asegurar que se cumplan es otra.
«Hemos observado a clientes federales y comerciales que ponen en práctica políticas específicas y bien intencionadas que son violadas rutinariamente, a veces a sabiendas y a veces sin saberlo», dijo Gronberg.
Muchas empresas, por ejemplo, tienen reglas contra productos específicos, como Xbox o Windows 95, que son encontrados rutinariamente por los clientes de Forescout.
«El hecho de que encontremos estos dispositivos de forma rutinaria en las redes cuando desplegamos nuestro producto por primera vez es una prueba de que las políticas no son perfectas, y tampoco lo son los humanos que las implementan», dijo.
Para mitigar el riesgo que representan los productos no confiables que inevitablemente llegarán a sus redes, Gronberg recomendó a las empresas que complementen los controles automatizados de políticas con controles bien conocidos y recomendados por el NIST, como la segmentación de redes y la integración/orquestación de herramientas de ciberseguridad. Esto puede asegurar que la información sobre amenazas se pueda compartir y actuar en todas las partes de la red, dijo.
Los ejecutivos de TI pueden ser atraídos a una falsa sensación de seguridad porque piensan que ya no están adquiriendo ciertos tipos de equipos, dijo Gronberg. Una mejor estrategia es asegurar que los sistemas permanezcan seguros y operativos a pesar de cualquier TI vulnerable que llegue a sus redes. «Esto, más que la prohibición de productos específicos, permitirá una verdadera seguridad y resistencia para nuestros sistemas críticos», dijo.
Un quebradero de cabeza para los clientes de Huawei
El EO podría ser particularmente problemático para los ejecutivos de TI que decidieron reemplazar los equipos de red de Cisco por equipos Huawei más baratos, dijo Joel Vincent, CMO de Zededa, un proveedor de informática de vanguardia.
«Parte de la razón por la que el gobierno tomó esta medida es [porque] la ruta de Huawei hacia el mercado durante muchos años ha sido un asalto directo a las cuentas de Cisco», dijo Vincent.
Esto ha incluido hacer que el equipo Huawei sea intuitivo para que los ingenieros entrenados por Cisco lo usen básicamente copiando la interfaz de usuario. Evidentemente, esta estrategia ha funcionado muy bien, señaló, pero también ha contribuido a las denuncias de violaciones de la propiedad intelectual.
Con una prohibición total de los productos Huawei, la alternativa más obvia para los ejecutivos de TI es ir con Cisco. «Pero un Cisco sin un proveedor alternativo en Huawei dará poder de fijación de precios a los ejecutivos de ventas de Cisco y reducirá la capacidad de negociación de su departamento de compras de TI y CIO promedio», dijo Vincent.
Las compañías más grandes serán las más afectadas por cualquier presión de precios que resulte de cualquier movimiento para prohibir los productos Huawei. Los compradores de dispositivos de gama baja y equipos de red todavía tienen muchas opciones.
La selección de equipos alternativos a los de Cisco para reemplazar los equipos de red de Huawei también podría requerir la capacitación del personal de ingeniería y apoyo de la red en diferentes flujos de trabajo, lo que podría ser un esfuerzo masivo a largo plazo.
«Si los ejecutivos de TI deciden integrar equipos distintos a Cisco, entonces habrá una oportunidad masiva de integración de sistemas, así como la certificación requerida para los nuevos equipos», dijo Vincent.
Pero, si las empresas deciden comprar nuevos equipos Cisco, los flujos de trabajo de soporte e integración son casi idénticos.
Efecto indirecto
Aunque en última instancia el EO puede no afectar directamente a las empresas que no hacen negocios con el gobierno federal, aún podría tener un efecto indirecto, similar a las consecuencias de la prohibición gubernamental de Kaspersky, el proveedor de seguridad ruso, dijo John Vecchi, CMO de ColorTokens, un proveedor de herramientas de seguridad. A finales de 2017, el Departamento de Seguridad Nacional prohibió los productos de software de Kaspersky en todas las agencias federales de Estados Unidos, alegando riesgos para los sistemas de información federales. Pronto, el uso del antivirus de Kaspersky, incluso en organizaciones no gubernamentales, se desplomó, y la UE calificó de malicioso al software de Kaspersky.
En Altcomp somos Especialistas, Consultores e integradores de TI con 29 años de experiencia y proveemos infraestructura, herramientas, aplicaciones y servicios que facilitan a las empresas efectuar su transición del actual al nuevo paradigma computacional.
¡Concierte su cita con nosotros y con mucho gusto le asesoramos!
Fuente: TechTarget
