5 riesgos y mejores prácticas de seguridad informática en la cadena de suministro

Las amenazas a la seguridad de la cadena de suministros han aumentado a raíz de la aparición del COVID-19. Infórmese sobre cuáles son y cómo puede proteger su organización y prevenir interrupciones o algo peor.

El aumento de las ciberamenazas a la cadena de suministros ante la aparición del COVID-19 ha hecho que la implementación de un plan de gestión de riesgo ininterrumpido sea más esencial que nunca.

Los ciberataques a la cadena de suministros ponen a las organizaciones en bastante riesgo; un riesgo que puede interrumpir sus operaciones y dañar su reputación.

Los ciberataques a la cadena de suministros están en aumento y los piratas informáticos apuntan a todas las empresas del ecosistema de la cadena de suministros, desde organizaciones de usuario final hasta proveedores de software y abastecedores, comentó Mark Atwood, vicepresidente de gestión de investigaciones de la cadena de suministros de Gartner Inc.

El COVID-19 simplemente aceleró una tendencia que ya estaba ocurriendo.

En 2019, el 40 % de los fabricantes tenía operaciones que estaban afectadas por un incidente cibernético, según un informe de Deloitte publicado el 6 de mayo. Y de marzo a mayo de este año, se registró un aumento en los ataques a la cadena de suministros relacionados con el COVID-19, resaltaron los autores del informe.

Si bien puede ser difícil obtener los número definitivos, la tendencia es clara.

«Los malos actores actuarán donde sea que vean una oportunidad», según el informe de seguridad informática de la cadena de suministros de Gartner, escrito en conjunto por Atwood. «Las cadenas de suministros, que amplían la variedad de riesgos empresariales para incluir a todos los participantes del ecosistema de la empresa, son una presa vulnerable».

Para ayudar a evitar que los piratas informáticos concreten sus objetivos, entienda estos cinco riesgos de ciberseguridad de la cadena de suministros y las mejores prácticas para combatirlos.

1. Reconozca el entorno de amenazas a la cadena de suministros

Caer en el concepto «esto no podría pasarnos a nosotros» es un gran error. Pero más allá de la evidencia clara de que los ataques cibernéticos a la cadena de suministros están en aumento, algunos líderes no están viendo esa realidad, incluso si logran entender las técnicas para ampliar un poco más la resiliencia de la cadena de suministros.

Para abordar por completo el tema de la ciberseguridad de la cadena de suministros, los líderes de la cadena de suministros deben entender que necesitan enfrentar la realidad del riesgo. La cadena de suministros es una verdadera mezcla heterogénea de oportunidades de vulneración —hay tanta información y traspasos de productos incluso en los más sencillos— y cada traspaso representa riesgos, en especial cuando participa la tecnología digital que fácilmente es ignorada.

Uno de los mayores desafíos de la cadena de suministros es que los líderes piensen que nunca van a ser víctimas de piratería informática, dijo Jorge Rey, el socio a cargo de la seguridad de la información y el cumplimiento de los servicios en Kaufman Rossin, una empresa certificada de contaduría pública y asesoramiento con sede en Miami.

Los líderes necesitan entender las ciberamenazas planteadas por las distintas partes de la cadena de suministros, incluida la tecnología, el software, los ciclos de vida de sus productos y los proveedores, comentó Rey.

2. Cree una estrategia de seguridad de la cadena de suministros multifacética

Los piratas informáticos son oportunistas, ven posibles vulnerabilidad en todas partes.

Los ciberataques a la cadena de suministros se llevan a cabo con distintos objetivos en mente, desde rescate y sabotaje hasta robo de propiedad intelectual, explicó Atwood.

Estos ciberataques también tienen muchas formas, por ejemplo, apropiación de actualizaciones de software e inyección de código malicioso en un software legítimo, como también delitos que apuntan a la tecnología de la información y la tecnología operativa, y ataques a cada dominio y nodo, dijo Atwood. Esas vulnerabilidades incluyen el flujo físico de activos, en cualquier parte del proceso de procesamiento, empaque y distribución, y el flujo virtual de datos o software en los dispositivos y sistemas conectados.

Con el aumento de los ciberataques, los líderes de la cadena de suministros deben hacer una mejor coordinación con los líderes de seguridad de TI y gestión de riesgo para entender los enfoques que usan, comentó Atwood. Y estos grupos deberían trabajar juntos para presentarle a la empresa un enfoque conjunto de gestión de riesgo de la ciberseguridad de la cadena de suministros.

«En el pasado, realmente no había manera de que estos dos grupos se juntaran y trataran el tema de la ciberseguridad de la cadena de suministros», comentó.

3. Revise las prácticas de seguridad y gestión de riesgo de los proveedores

Si bien es imprescindible para la actividad comercial de una organización, la red de proveedores pone en riesgo a las organizaciones. Por ese motivo, la debida diligencia en torno a la seguridad de esos socios es clave.

Muchas organizaciones caen por defecto en el enfoque «ojos que no ven, corazón que no siente».

La mayoría de las organizaciones no tienen conocimientos profundos, confiables y factibles sobre los protocolos y las prácticas de seguridad de los proveedores que suministran los productos y las tecnologías fundamentales de las que dependen, dijo Beau Oliver, vicepresidente de Booz Allen Hamilton.

Eso es un error.

Para asegurar la cadena de suministros de verdad, una empresa tiene que entender el riesgo que sus proveedores introducen en la empresa, dijo Carrie Whysall, directora de servicios de seguridad gestionados de CynergisTek, una empresa de asesoramiento en ciberseguridad con sede en Austin, Texas.

La mejor forma de hacer eso es realizando una evaluación de seguridad de cada uno de los proveedores antes de incorporarlos a la organización y de forma regular de ahí en adelante.

«Debe contar con un cuestionario técnico básico que pueda usar en cada contacto con cada proveedor», dijo. «Usted ya sabe qué busca con sus pautas de seguridad y si no pueden cumplir con sus criterios básicos, no quiere tenerlos en su entorno.

El enfoque formal para repasar la seguridad del proveedor y entender cualquier riesgo relacionado con la ciberseguridad de la cadena de suministros es fundamental.

«Definir los requisitos de seguridad y tener un programa de gestión de riesgos cibernéticos para evaluar los servicios de terceros (y hasta de un cuarto socio) puede ayudar a las organizaciones a reducir el riesgo de ataques a sus cadenas de suministros», según el informe de Deloitte.

4. Gestione el riesgo del trabajo remoto

En cierto modo, las mejores prácticas de la gestión de la cadena de suministros en un mundo con COVID-19 son versiones actualizadas de lo que ya debería haber estado ocurriendo. Pero el traspaso generalizado al trabajo remoto es algo a lo que muchos líderes no se enfrentaron antes. Como una enorme cantidad de personas ha empezado a trabajar desde la casa, los puntos de conexión que los piratas informáticos pueden vulnerar también han aumentado de manera exponencial.

«Las operaciones sostenidas en un entorno de teletrabajo remoto de un proveedor presentan otros riesgos al confiar en los usuarios del proveedor para que administren la seguridad y protección física y virtual de los puntos de conexión en ubicaciones dispersas fuera de los servicios de monitoreo establecidos que la empresa tiene disponibles», dijo Oliver.

Como resultado, las organizaciones corren el riesgo de enfrentar comportamientos no autorizados por parte de los empleados de los proveedores, incluida la pérdida o el robo de sus dispositivos, la descarga de datos sensibles de la empresa sin las protecciones fuera de línea adecuadas o la introducción de aplicaciones no autorizadas, archivos, registradores de pulsaciones de teclas y otras amenazas persistentes, comentó Oliver.

«Los empleados remotos ahora estás usando sus dispositivos de trabajo para navegar por Internet, descargar aplicaciones que no son de confianza o conectarse a través de redes Wi-Fi públicas o domésticas, todo antes de acceder a las redes seguras de sus empresas», afirmó.

Además, cuando los empleados de un proveedor trabajan desde su casa, con frecuencia se les pide que usen varias redes y herramientas de colaboración, y lidien con procesos generales engorrosos para administrar las cuentas y los productos comerciales en la nube. Además, la gran variedad de dispositivos conectados a las redes domésticas, como termostatos, asistentes virtuales, televisores y hasta electrodomésticos, aumentan en gran medida los riesgos de ciberseguridad de la cadena de suministros, dijo. Estas actividades crean puntos ciegos para las organizaciones y los riesgos para su ERP y sus sistemas empresariales, lo que presenta una oportunidad para que los actores maliciosos vulneren los activos de la empresa, incluido el software de la cadena de suministros.

A medida que el mundo adopta la nueva normalidad de trabajar fuera de la oficina, la tecnología debe evolucionar para mantener el acceso seguro a las redes y a los datos sensibles, agregó Olive. Los ataques de ciberseguridad, como las estafas de phishing, el correo no deseado, ransomware y los registradores de pulsaciones de teclas que apuntan a las cadenas de suministros, están aumentando significativamente a medida que los actores maliciosos aprovechan la situación actual para engañar a los trabajadores remotos.

Las herramientas comunes de seguridad, como las redes virtuales privadas y las infraestructuras de escritorio virtual, no son suficientes por sí solas para proteger efectivamente a las organizaciones y mitigar las amenazas, explicó Oliver. Eso se debe a que dependen de que los usuarios finales de las empresas sigan las políticas de seguridad antes y después de conectarse a redes seguras.

La necesidad de contar con una mejor seguridad en los puntos de conexión es evidente.

Por ejemplo, las organizaciones pueden hacer mucho más para intentar mejorar la seguridad de los dispositivos móviles de los empleados remotos y, por consiguiente, evitar que los malos actores vulneren la red de la cadena de suministros, dijo Matt Wilgus, socio y líder de prácticas de seguridad en Schellman & Co. LLC, un proveedor de servicios de atestación y cumplimiento en Tampa, Fla.

Wilgus dijo que su empresa se ocupó de la gestión de los dispositivos móviles para mejorar la ciberseguridad de los dispositivos de sus empelados remotos al mantener el entorno laboral separado de la parte del sistema al que pueden acceder todos los demás miembros del hogar.

«Entonces, básicamente, si usted tiene un activo que se comparte, puede decirle [a los otros], ‘Ey, cuando inicien sesión, van a hacerlo de este lado del sistema’», dijo.

Esto hace que los usuarios solo utilicen los dispositivos para trabajar y, por ejemplo, para hacer la tarea de la escuela.

Para garantizar la seguridad de las cadenas de suministros, las organizaciones y sus líderes de las cadenas de suministros también deben monitorear la manera en que sus empleados remotos están usando sus dispositivos, agregó Wilgus.

«Usted debe contar con una política de monitoreo y decirles a sus empleados remotos: ‘Todo lo que hagan mientras estén conectados a la red será monitoreado’», dijo.

5. Ocúpese de la seguridad de productos inteligentes

Las tecnologías como Internet de las cosas están ayudando a los líderes de las cadenas de suministros, pero también presentan mayores riesgos. De hecho, la digitalización de las cadenas de suministros, con su combinación de componentes físicos y digitales, amplía la superficie de ataque.

Además, los productos inteligentes han aumentado el riesgo de ciberseguridad de la cadena de suministros; esto se debe a la proliferación de productos inteligentes con códigos insertados y sensores, según el informe de Gartner.

Esta idea de seguridad de los productos ha sido una gran revelación tanto para la cadena de suministros como para la tecnología de la información, dijo Atwood.

«Cualquiera [en TI] diría: ‘Ah, la seguridad de los productos es responsabilidad de la cadena de suministros, fabricación, ingeniería [y] calidad de los productos’», dijo Atwood. «Mientras que si habla con colegas del lado de la cadena de suministros, ellos dicen: ‘Ah, los colegas de TI tienen eso bajo control’».

Para garantizar la ciberseguridad de sus cadenas de suministros, los líderes de las cadenas de suministros necesitan asociarse con todos los demás grupos esenciales de la organización para crear un enfoque integrado, según el informe de Gartner.

Un silo es solo otra manera de decir «oportunidad para los piratas informáticos». De hecho, en el mundo moderno en el que las vulnerabilidades cibernéticas solo aumentarán a medida que las organizaciones usan cada vez más componentes digitales en la cadena de suministros o mueven esos componentes a través de la cadena, un enfoque holístico para mitigar el riesgo de ciberseguridad no solo es recomendable, sino que es algo imprescindible en tanto que las superficies de ataque aumentan día tras día.