Un informe reciente nos mostró que el panorama de amenazas de 2020 fue moldeado en gran medida por la pandemia. A medida que las empresas se apresuraron a hacer la transición a entornos en la nube para mantener las luces de sus negocios encendidas durante la pandemia, la seguridad fue en gran medida una idea de último momento, pero para los atacantes fue lo más importante.
A medida que se desarrollaba la línea de tiempo de los eventos y el progreso de la pandemia, también cambiaban las tendencias de los ataques. Las marcas en las que confiamos durante el distanciamiento social y el trabajo remoto eran el disfraz favorito de los atacantes. Los esfuerzos de socorro y la información de salud pública se utilizaron como señuelos de spam y se atacaron los componentes críticos de la cadena de suministro de vacunas. Muchos de nosotros en la cadena de suministro recordamos las principales violaciones de datos de hace unos años, sufridas por grandes minoristas como Target y Home Depot como resultado de relaciones con terceros. Casi siete años después, las brechas de seguridad en la cadena de suministro siguen ocupando los titulares, con la pandemia y, más notablemente, la brecha de SolarWinds que repercutió en toda la industria.
El análisis más reciente estima que el coste promedio de una filtración de datos es de $3,86 millones, y las megainfracciones (50 millones de registros o más robados) alcanzan los $392 millones.
Entonces, debemos aprender de 2020 para asegurarnos de que la historia no se repita.
Veamos cuáles son los principales problemas de la cadena de suministro y cómo solucionarlos.
Indice
Papel de la seguridad en la gestión de la cadena de suministro
Esta dependencia de los proveedores es el resultado del aumento de la interconectividad entre organizaciones como un componente básico mutuo del modelo comercial de cada uno. También es una consecuencia de la práctica común de subcontratar departamentos como TI, Recursos Humanos y Seguridad, que se está convirtiendo en la norma para muchas organizaciones.
Como resultado de la escasez de personas capacitadas, el aumento de la hiperconectividad y el surgimiento de servicios SaaS asequibles, los proveedores han respondido al llamado de operaciones y administración de seguridad más accesibles y flexibles.
- Los hospitales manejan los datos de los pacientes de manera más eficiente al conectarse a través de tecnología inteligente y servicios de plataforma.
- Los minoristas dependen más que nunca de sus proveedores externos para la entrega de bienes y servicios con multas de entrega JIT (justo a tiempo).
- Las organizaciones de fabricación se centran en la externalización de sus actividades SOC.
- Las empresas químicas gestionan la escasez de personal y adquieren talento mediante la contratación de ingenieros externos.
Si bien esta hiperconectividad permite un crecimiento más rápido, esta dependencia de proveedores externos significa que las organizaciones no siempre saben dónde están sus joyas de la corona y quién tiene acceso a ellas, y mucho menos qué impacto tendrán estas dependencias si algo sale mal.
Esto hace que asegurar tu cadena de suministro sea aún más importante. Las organizaciones deben comprender que la gestión de su información más valiosa y la protección de datos se extiende y depende de con quién trabaja y qué tan cerca protege sus puertas de enlace y gestiona su riesgo.
No es imposible asegurar tu organización y administrar este riesgo, solo requiere que asumas un nuevo rol en una cadena de suministro en evolución e integres esto en tu estrategia general de administración de riesgos. Mira la seguridad no como un protocolo aislado, sino como un elemento clave que se extiende a cada elemento de tu flujo de trabajo. Esto te permitirá evaluar y monitorizar continuamente tu riesgo, facilitando la detección y neutralización de amenazas.
Tomar conciencia de los riesgos
Dependemos en gran medida de la digitalización y, durante muchos años, las organizaciones han desconfiado de los crecientes riesgos de ciberseguridad. Muchos han tomado medidas para proteger sus datos más valiosos dentro de los muros de su organización. Sin embargo, a pesar de los controles tomados, la rápida hiperconectividad de las empresas ha introducido un nuevo tipo de amenaza a la seguridad.
El riesgo de la cadena de suministro se refiere al riesgo de una organización que comparte con su red. Por ejemplo, cuando se violó SolarWinds, su red sufrió pérdidas iguales o mayores. Las organizaciones interconectadas comparten el riesgo asociado con los ataques cibernéticos. Estos riesgos compartidos incluyen:
- Riesgo financiero: los efectos financieros de una fuga de datos se pueden sentir en toda la red. Cuando se produjo la infracción de Microsoft, esto no solo supuso un riesgo financiero para Microsoft, sino también para sus clientes. Muchos lidiaron con las consecuencias financieras debido a una posible fuga de datos.
- Riesgo reputacional: una infracción del proveedor daña la reputación de todas las partes involucradas, lo que a menudo pone en duda la confiabilidad. Cuando una infracción de este tipo se hace pública, las listas cortas de las organizaciones afectadas por la infracción también están disponibles, trasladando el riesgo reputacional a muchas organizaciones clientes.
- Riesgo operativo: Tus operaciones pueden verse afectadas por una brecha. Los atacantes pueden tener acceso a la red hasta cierto punto y durante un tiempo indeterminado. En el caso del riesgo de la cadena de suministro, esto involucra al vendedor/proveedor de servicios y también puede afectar a la organización del cliente.
- Riesgo social: la dependencia de nuestros sistemas en la digitalización introduce un riesgo social si no se toman las medidas de seguridad adecuadas. La incertidumbre en el viaje digital puede romper la confianza social en los sistemas en los que confiamos. Esta confianza es esencial para nuestras operaciones y crecimiento continuo.
Principales preocupaciones de seguridad de la cadena de suministro
Los líderes de la cadena de suministro de todo el mundo y de todas las industrias nos dicen que estos son los principales problemas de seguridad de la cadena de suministro:
Protección de datos
Los datos están en el corazón de las transacciones comerciales y deben protegerse y controlarse en reposo y en movimiento para evitar la violación y la manipulación. El intercambio seguro de datos también implica confiar en la otra fuente, ya sea un tercero o un sitio web de comercio electrónico. Tener garantías de que la parte con la que está interactuando es quien dice ser es vital.
La estructura de los datos a lo largo de la cadena de suministro es un área importante de preocupación en materia de seguridad. Las medidas de seguridad deben garantizar que todos los estados de los datos sean seguros, incluso en reposo y en movimiento. Las prácticas de cifrado de datos son especialmente importantes entre las integraciones de terceros porque los piratas informáticos saben que es probable que el proveedor externo de un objetivo tenga acceso a sus datos confidenciales.
Localidad de los datos
Los datos críticos existen en todos los niveles de la cadena de suministro y deben ubicarse, clasificarse y protegerse sin importar dónde se encuentren. En industrias altamente reguladas, como los servicios financieros y la atención médica, los datos deben adquirirse, almacenarse, administrarse, usarse e intercambiarse de conformidad con los estándares de la industria y los mandatos gubernamentales que varían según las regiones en las que operan.
Visibilidad y gobernanza de datos
Las redes empresariales de múltiples empresas no solo facilitan el intercambio de datos entre empresas, sino que también permiten que varias empresas accedan a los datos para que puedan ver, compartir y colaborar. Las empresas participantes exigen control sobre los datos y la capacidad de decidir con quién compartirlos y qué puede ver cada parte autorizada.
Prevención del fraude
En un solo ciclo desde el pedido hasta el cobro, los datos cambian de manos varias veces, a veces en formato de papel y a veces en formato electrónico. Cada punto en el que los datos se intercambian entre las partes o se desplazan dentro de los sistemas presenta una oportunidad para que se manipulen, de forma malintencionada o inadvertida.
El fraude de proveedores, o fraude de proveedores, ocurre cuando un ciberdelincuente que dice ser un minorista conocido solicita un cambio en sus procesos de pago. Estos eventos son difíciles de identificar ya que los estafadores suelen adoptar técnicas avanzadas de ingeniería social, incluidos los mensajes de voz generados por IA y las grabaciones de video Deepfake.
Los eventos de fraude que expiran la seguridad de la cadena de suministro global no se limitan a la categoría de proveedores. Un número creciente de eventos de violación de datos son causados por proveedores externos que son víctimas de diversas tácticas de fraude e ingeniería social.
Riesgo de terceros
Los productos y servicios cotidianos, desde teléfonos móviles hasta automóviles, están aumentando en sofisticación. Como resultado, las cadenas de suministro a menudo dependen de cuatro o más niveles de proveedores para entregar productos terminados. Cada una de estas partes externas puede exponer a las organizaciones a nuevos riesgos en función de su capacidad para gestionar adecuadamente sus propias vulnerabilidades.
Los riesgos de terceros a menudo introducen riesgos significativos para la seguridad de los datos en tu organización. Esto a menudo se debe a prácticas de seguridad deficientes derivadas de una estrategia de seguridad débil.
Entonces, ¿qué se necesitará para abordar la seguridad de la cadena de suministro?
Parte del desafío es que no existe una definición única y funcional de la seguridad de la cadena de suministro. Es un área enormemente amplia que incluye todo, desde amenazas físicas hasta amenazas cibernéticas, desde la protección de transacciones hasta la protección de sistemas, y desde la mitigación del riesgo con las partes en la red comercial inmediata hasta la mitigación del riesgo derivado de las relaciones con terceros, cuartos y «n». Sin embargo, existe un acuerdo cada vez mayor de que la seguridad de la cadena de suministro requiere un enfoque multifacético y funcionalmente coordinado.
Mejores prácticas de seguridad de la cadena de suministro
La seguridad de la cadena de suministro requiere un enfoque multifacético. No existe una panacea, pero las organizaciones pueden proteger sus cadenas de suministro con una combinación de defensas en capas. A medida que los equipos centrados en la seguridad de la cadena de suministro hacen que sea más difícil para los actores de amenazas pasar el guante de los controles de seguridad, ganan más tiempo para detectar actividades nefastas y tomar medidas. Estas son solo algunas de las estrategias más importantes que las organizaciones están siguiendo para administrar y mitigar el riesgo de seguridad de la cadena de suministro.
Evaluaciones de estrategia de seguridad
Para evaluar el riesgo y el cumplimiento, debes evaluar el gobierno de seguridad existente, incluida la privacidad de datos, el riesgo de terceros y las necesidades y brechas de cumplimiento normativo de TI, frente a los desafíos, requisitos y objetivos comerciales. La cuantificación de riesgos de seguridad, el desarrollo de programas de seguridad, el cumplimiento normativo y de estándares, y la educación y capacitación en seguridad son claves.
Un cronograma regular descubrirá los riesgos de seguridad de la cadena de suministro antes de que los ciberdelincuentes los exploten. Idealmente, estas evaluaciones cumplieron ser completamente personalizables para adaptarse al perfil de riesgo único de cada proveedor.
Mitigación de vulnerabilidades y pruebas de penetración
Identifica primero las preocupaciones básicas de seguridad mediante la ejecución de análisis de vulnerabilidades. La reparación de malas configuraciones de bases de datos, malas políticas de contraseñas, la eliminación de contraseñas predeterminadas y la protección de terminales y redes pueden reducir inmediatamente el riesgo con un impacto mínimo en la productividad o el tiempo de inactividad. Emplea especialistas en pruebas de penetración para intentar encontrar vulnerabilidades en todos los aspectos de las aplicaciones nuevas y antiguas, la infraestructura de TI que subyace en la cadena de suministro e incluso las personas, a través de simulación de phishing y red teaming.
Un ataque a la cadena de suministro nunca debe ser la primera vez que se ponen en práctica los planos de respuesta a incidentes. Las tácticas de respuesta deben evaluarse de forma rutinaria con pruebas de penetración. Las pruebas de penetración también podrían descubrir amenazas de seguridad avanzadas en la cadena de suministro que los sistemas de seguridad pasan por alto.
Digitalización y modernización
Es difícil proteger los datos si dependes del papel, el teléfono, el fax y el correo electrónico para las transacciones comerciales. La digitalización de los procesos manuales esenciales es clave. Las soluciones tecnológicas que facilitan el cambio de procesos manuales basados en papel y brindan seguridad, confiabilidad y control a las transacciones brindan la base para el movimiento seguro de datos dentro de la empresa y con clientes y socios comerciales.
A medida que modernizas los procesos comerciales y el software, puedes aprovechar el cifrado, la tokenización, la prevención de pérdida de datos, la monitorización y las alertas de acceso a archivos, y traer equipos y socios junto con capacitación y concientización sobre seguridad.
Identificación y cifrado de datos
Los programas y políticas de protección de datos deben incluir el uso de herramientas de descubrimiento y clasificación para identificar las bases de datos y los archivos que contienen información protegida del cliente, datos financieros y registros de propiedad. Una vez que se localizan los datos, el uso de los últimos estándares y políticas de cifrado protege los datos de todo tipo, en reposo y en movimiento: clientes, finanzas, pedidos, inventario, Internet de las cosas (IoT), salud y más. Las conexiones entrantes se validan y el contenido del archivo se examina en tiempo real. Las firmas digitales, la autenticación multifactor y las pausas de sesión ofrecen controles adicionales cuando se realizan transacciones por Internet.
Controles autorizados para el intercambio de datos y la visibilidad
Las redes comerciales de múltiples empresas garantizan un intercambio de información seguro y confiable entre socios estratégicos con herramientas para el acceso basado en roles y usuarios. Las prácticas de seguridad de gestión de acceso e identidad son fundamentales para compartir de forma segura datos confidenciales y de propiedad en un amplio ecosistema, mientras que encontrar y mitigar vulnerabilidades reduce el riesgo de accesos indebidos y violaciones.
La monitorización de la actividad de la base de datos y de usuarios privilegiados y las alertas brindan visibilidad para detectar problemas rápidamente. Agregar la tecnología blockchain a una red comercial de varias empresas proporciona visibilidad de múltiples partes de un registro compartido inmutable y autorizado que alimenta la confianza en toda la cadena de valor.
Confianza, transparencia y procedencia
Con una plataforma de cadena de bloques, una vez que los datos se agregan al libro mayor, no se pueden manipular, cambiar ni eliminar, lo que ayuda a prevenir el fraude y a autenticar la procedencia y monitorizar la calidad del producto. Los participantes de múltiples empresas pueden rastrear materiales y productos desde la fuente hasta el cliente o consumidor final. Todos los datos se almacenan en registros de cadena de bloques, protegidos con el nivel más alto de cifrado resistente a manipulaciones disponible comercialmente.
Gestión de riesgos de terceros
A medida que crecen las conexiones y las interdependencias entre empresas y terceros en el ecosistema de la cadena de suministro, las organizaciones deben ampliar su definición de gestión de riesgos de proveedores para incluir seguridad de extremo a extremo. Esto permite a las empresas evaluar, mejorar, monitorizar y administrar el riesgo a lo largo de la vida de la relación. Comienza reuniendo a tus propios equipos comerciales y técnicos con socios y proveedores para identificar activos críticos y daños potenciales a las operaciones comerciales en caso de una violación de cumplimiento, cierre del sistema o violación de datos que se haga público.
Planificación y orquestación de respuesta a incidentes
Es vital prepararse proactivamente para una brecha, un cierre o una interrupción, y contar con un sólido plan de respuesta a incidentes. Los planes de respuesta y remediación practicados, probados y fáciles de ejecutar evitan la pérdida de ingresos, el daño a la reputación y la rotación de socios y clientes. La inteligencia y los planes proporcionan métricas y aprendizajes que su organización y sus socios pueden usar para tomar decisiones para evitar que vuelvan a ocurrir ataques o incidentes.
En caso de un ataque a la cadena de suministro, tus respuestas deben ser planificadas y coordinadas, no esporádicas y carentes de estrategia. Un plan de respuesta a incidentes bien diseñado debería ayudar a tu equipo de seguridad a prepararse para cada escenario de ataque a la cadena de suministro con un impacto mínimo en la continuidad del negocio.
El conocimiento es poder y la acción es clave
A medida que evolucionen los riesgos, también deben hacerlo las empresas. La seguridad no debe ser una idea de último momento, sino que debe desempeñar un papel clave en las operaciones comerciales. Saber lo que sucede tanto dentro como fuera de tu empresa y obtener información sobre su exposición y la exposición de tus proveedores clave es esencial tanto para proteger tu organización como para responder a las amenazas. Invertir en una excelente inteligencia de amenazas y aplicar métricas a su seguridad puede ayudar a minimizar tu riesgo.
La ciberseguridad efectiva funciona no solo para mantener alejados a los atacantes, sino también para minimizar el daño en caso de que tus defensas hayan caído. El seguimiento y la respuesta inmediata a los incidentes son cruciales para monitorizar la seguridad de tu organización y atrapar a los piratas informáticos antes de que puedan causar más daños. Dada la naturaleza del riesgo de la cadena de suministro, las organizaciones no solo se lo deben a sí mismas, sino también a todo el ecosistema empresarial, para asegurar su lugar en esta nueva cadena de suministro digital.