Logo de la unión europea.
Logo del ministerio de agricultura, pesca y alimentación
Logo del plan de recuperación, transformación y resilencia
AKIS logo
Icono contacto
Icono buscador

Proyecto H2020 CYRENE: Certificación de la seguridad y resiliencia de los servicios de la cadena de suministro

  • Tipo Proyecto
  • Status Completado
  • Ejecución 2020 -2023
  • Presupuesto asignado 4.992.750,00 €
  • Alcance Europeo
  • Principal fuente de financiación Horizonte 2020
  • Sitio web del proyecto Proyecto CYRENE
Descripción

La gestión de las actividades de la cadena de suministro (CS) es cada vez más compleja. Una de las razones es la falta de un sistema integrado para que los responsables de seguridad y los operadores protejan sus infraestructuras críticas interconectadas y sus cibersistemas en la nueva era digital. El proyecto CYRENE, financiado con fondos europeos, busca mejorar la seguridad, la privacidad, la resiliencia, la rendición de cuentas y la fiabilidad de las cadenas de suministro mediante un novedoso y dinámico Proceso de Evaluación de la Conformidad (PAC) que evalúa la seguridad y la resiliencia de los servicios de las CS. 

El PAC también evalúa las infraestructuras de TI interconectadas que componen estos servicios y los dispositivos individuales que respaldan las operaciones de las CS. Se validará un nuevo enfoque colaborativo, multinivel y basado en la evidencia para la evaluación de riesgos y privacidad en el ámbito de escenarios/condiciones realistas que incluyen infraestructuras de CS y usuarios finales reales.

Descripción de actividades

CYRENE comenzó recopilando requisitos legales y de seguridad para los servicios de la cadena de suministro (SCS). Los requisitos de seguridad se recopilaron de las partes interesadas de los SCS (tanto socios del proyecto como partes interesadas externas mediante cuestionarios en línea), mientras que los requisitos legales fueron recopilados por el socio legal del consorcio. Los requisitos se clasificaron, analizaron y reportaron. El análisis de los requisitos condujo a la especificación del esquema de evaluación de la certificación de la conformidad y del proceso de evaluación de la conformidad, definido como un proceso de evaluación gradual, multinivel y basado en evidencia entre diferentes actores (auditores, evaluadores, proveedores de servicios de la cadena de suministro, administradores y responsables de seguridad) con derechos de control de acceso jerárquico. Además, se desarrollaron modelos ontológicos para las dependencias y eventos de la infraestructura, así como para los activos de hardware y software, las amenazas, las vulnerabilidades, las ciberdependencias, los actores y sus interacciones, y algoritmos para los efectos en cascada de las amenazas, los riesgos y las vulnerabilidades. 

Asimismo, se definió una arquitectura para una plataforma que soportará el proceso de evaluación de la conformidad. La culminación exitosa de los resultados mencionados marcó el cumplimiento de los tres primeros hitos del proyecto: MS1, MS2 y MS3. Trabajos posteriores se enfocaron en el diseño e implementación de los prerrequisitos (es decir, activos, vulnerabilidades, servicios de la cadena de suministro, procesos de negocios en un esquema de base de datos relacional que cumple con CVSS3.1) para facilitar el cálculo horizontal de los riesgos entre cadenas de suministro interconectadas que involucran a múltiples actores (es decir, proveedores de la cadena de suministro, auditores y asesores). Servicios de rastreo automático fueron diseñados e implementados para recolectar y extraer información de la dark web. De manera similar, se implementó una tubería de datos para procesamiento de datos, curación, almacenamiento, gráficos y análisis de texto. Se empleó Machine Learning para clasificar el texto de acuerdo con la relevancia de su contenido para ciberataques, actividades ilegales y eventos emergentes detectados en foros, mercados y sitios de la dark web. 

La Threat Intelligence Sharing Platform se utilizó para unir y clasificar los términos extraídos de la dark web en conceptos cibernéticos correlacionados con incidentes de ciberseguridad y malware. También se han configurado las tecnologías adecuadas para permitir la integración exitosa de los módulos desarrollados anteriormente. Estas incluyen un repositorio GitLab para subir el código del módulo relevante al sistema de integración, varias herramientas de integración como Kafka Broker, Elasticsearch y KeyCloak para un acceso seguro. 

Además, se ha configurado el entorno Redmine para el reporte de problemas y el seguimiento de las actividades del proyecto. Las tareas de integración continua incluyen el entorno GitLab mencionado anteriormente para el repositorio de código para el proceso que ejecuta las pruebas e implementa el código para cada iteración. Finalmente, se ha distribuido una plantilla para la recopilación de información que conducirá al esquema de pruebas de los módulos individuales, así como del sistema integrado. Además, las actividades del paquete de trabajo 5 incluyen el diseño de la metodología de experimentación con la creación de plantillas adecuadas para conducir al diseño real de los experimentos que se realizarán en el paquete de trabajo 6.

Objetivos

CYRENE aborda el problema de evaluar y certificar los requisitos de seguridad y resiliencia de los Servicios de la Cadena de Suministro (SCS). Para ello, el proyecto proporciona servicios, bloques de construcción y componentes para un proceso mejorado de Evaluación de Riesgos (AR) que también puede servir como un proceso de Evaluación de Conformidad (EC) para evaluar las amenazas y vulnerabilidades de seguridad, así como para evaluar la seguridad y resiliencia de los SCS y sus objetivos de seguridad. 

Una innovación importante del proyecto es el doble uso de la Metodología RCA, ya que puede ser utilizada por proveedores individuales de SCS y socios comerciales para evaluar y gestionar los riesgos de SCS y generar los Perfiles de Protección SCS (PP, es decir, declaraciones de seguridad), pero también puede ser utilizada por auditores externos y organismos de certificación para acceder a los objetivos de ciberseguridad, los requisitos y la validez de las declaraciones PP de SCS. El esquema de certificación de CYRENE es una extensión del EUCC de ENISA. Además, el proyecto desarrolla una plataforma y un conjunto de herramientas complementarias para respaldar el proceso de certificación. 

El proceso de certificación, el esquema y el conjunto de herramientas se validarán en dos pruebas realizadas en situaciones reales. Los resultados de las pruebas se utilizarán como base para la formulación de un conjunto de mejores prácticas. La importancia de las cadenas de suministro modernas es fundamental, ya que son la base de casi cualquier actividad de las sociedades modernas. Su correcto funcionamiento es fundamental, mientras que su disrupción suele tener un profundo impacto social, económico y político. La certificación de la seguridad y resiliencia de los servicios de la cadena de suministro aumenta la confianza de los consumidores y contribuye a un Mercado Único Digital competitivo y fiable. 

Los objetivos de CYRENE son: 

  • Crear esquemas de certificación de seguridad y privacidad personalizados y basados en riesgos para servicios de cadena de suministro fiables basados en sistemas TIC.
  • Desarrollar un novedoso proceso dinámico de evaluación de riesgos y conformidad en ciberseguridad que admita diferentes tipos de evaluación de conformidad.
  • Desarrollar un esquema de certificación para servicios de la cadena de suministro.
  • Especificar servicios de modelos y simulación para pronosticar, detectar y prevenir dinámicamente los riesgos de ciberseguridad y privacidad en la cadena de suministro, y definir estrategias de mitigación. 
  • Validar la solución CYRENE mediante su aplicación a servicios reales de la cadena de suministro.
  • Desarrollar mejores prácticas y mejoras de estándares para la evaluación y certificación de riesgos de los servicios de la cadena de suministro.
  • Contribuir a fortalecer la capacidad de la UE en materia de ciberseguridad y abordar futuros desafíos en materia de ciberseguridad.
Resultados

A pesar de la tremenda importancia socioeconómica de las cadenas de suministro (SC), los agentes y operadores de seguridad aún no tienen una manera fácil e integrada de proteger sus infraestructuras críticas (CI) y sistemas cibernéticos interconectados en la nueva era digital. La visión de CYRENE es mejorar la seguridad, la privacidad, la resiliencia, la responsabilidad y la confiabilidad de los SC a través de la provisión de un Proceso de Evaluación de la Conformidad (CAP) novedoso y dinámico que evalúa la seguridad y la resiliencia de los servicios de la cadena de suministro, las infraestructuras de TI interconectadas que componen estos servicios y los dispositivos individuales que respaldan las operaciones de los SC. 

Para cumplir sus objetivos, el CAP propuesto se basa en un enfoque colaborativo de evaluación de riesgos y privacidad basado en evidencia de múltiples niveles que apoya, en diferentes niveles, a los oficiales y operadores de seguridad de los SC para reconocer, identificar, modelar y analizar dinámicamente amenazas y vulnerabilidades persistentes avanzadas, así como para manejar los riesgos diarios de seguridad cibernética y privacidad y las violaciones de datos. CYRENE se validará en el ámbito de escenarios/condiciones realistas que comprendan infraestructuras de la cadena de suministro y usuarios finales de la vida real. Además, el proyecto garantizará la participación activa de un gran número de partes interesadas externas como medio para desarrollar un ecosistema más amplio en torno a los resultados del proyecto, lo que sentará las bases para la adopción a gran escala de CYRENE y su impacto global.

Información adicional

Los siguientes resultados del proyecto han hecho progresar el Estado del Arte: El Esquema de Evaluación de Conformidad/Certificación: El esquema propuesto extiende el EUCC (Esquema de Certificación de Ciberseguridad) de ENISA y se centra en servicios complejos interconectados de la cadena de suministro, que se visualizan en tres capas de abstracción, a saber, procesos de negocio, infraestructuras interconectadas y activos digitales. 

El ecosistema altamente diverso resultante de actores, procesos y tecnologías de soporte es un Objetivo de Evaluación para el cual se expresan requisitos de conformidad para asegurar su seguridad y resiliencia. El Proceso de Evaluación de Riesgo y Conformidad (RCA) y la Evaluación de Riesgo de la Cadena de Suministro Basada en Evidencia Multinivel: La metodología ha especificado los pasos de un proceso de RCA y las funciones, fórmulas y cálculos que se requieren para realizar una evaluación colaborativa de riesgos de SC en diferentes organizaciones y roles. Los pasos incluyen las partes interesadas involucradas en el proceso colaborativo, los roles y autorizaciones de cada parte interesada y los flujos de trabajo de colaboración asociados con los procesos de evaluación y simulación. 

El proceso tiene una doble utilidad: puede ser utilizado por las partes interesadas de SCS para evaluar su parte de la cadena de suministro y formular declaraciones de seguridad, pero también puede ser utilizado por evaluadores externos y organismos de certificación para certificar declaraciones de seguridad expresadas. La Ontología CYRENE para Dependencias y Eventos de Infraestructura: modela las relaciones entre los activos de SC y las ciberdependencias cuando participan en los procesos de negocio. Los procesos de negocio componen los servicios de la cadena de suministro donde organizaciones y personas con diversos roles participan con diferentes derechos de acceso jerárquicos.

Coordinadores
  • MAGGIOLI SPA (MAGGIOLI)

Proyectos relacionados

Proyecto H2020 SUSINCHAIN: Cadena de insectos sostenible
Leer más
erasmus43
Proyecto Erasmus +: Promoción de la soberanía alimentaria a través de la formación en lugares de trabajo internacionales
Leer más
life24
Proyecto LIFE: Recuperación de mezcla pástica y reciclaje de PP y PS a partir de residuos sólidos municipales
Leer más
Proyecto LIFE: Verificación de circuito cerrado de cajas, tambores y bidones de poliolefinas recicladas y reutilizadas
Leer más