Cómo identificar y gestionar riesgos de ciberseguridad en la cadena de suministro

26 Feb 2019
Artículo por Achilles

La ciberseguridad forma parte de la realidad cotidiana de las empresas. Un informe publicado por el Ministerio de Asuntos Digitales, Cultura, Medios de Comunicación y Deportes del Reino Unido en 2018 mostró que un 43 % de las empresas encuestadas había sufrido un ciberataque en los últimos 12 meses. Según Oz Alashe, fundador y consejero delegado de CybSafe y embajador de ciberseguridad de Achilles, la naturaleza del riesgo está cambiando y los ciberataques se están convirtiendo en un problema importante para la cadena de suministro.

«Cuando la mayoría de la gente piensa en los delitos informáticos, imagina ataques sofisticados dirigidos a empresas del índice FTSE 250, pero esa idea no es totalmente cierta», explica Oz. «En general, la tendencia de la mayoría de los delincuentes no es atacar a las organizaciones prósperas y con buenas defensas. Por lo contrario, atacan a aquellas que no están preparadas. Esto implica que, sobre todo en el caso de las empresas globales, la grieta en su estrategia de seguridad no suele estar en sus propias redes, que son seguras, sino en los proveedores de menor tamaño con los que hacen negocios, o incluso en proveedores de proveedores».

Este dato se demostró en el sector público en 2017, cuando hackers rusos consiguieron acceder a la red eléctrica de EE. UU. a través de proveedores clave de las empresas eléctricas.

El hecho de que muchos de los sistemas de análisis y control utilizados en producción y distribución de energía, aviación, empresas de aguas y fabricación no se habían diseñado teniendo en cuenta la amenaza de los ciberataques hace que los servicios públicos y las infraestructuras sean especialmente vulnerables. Oz comenta que actualmente las empresas se enfrentan a tres amenazas principales, y todas ellas están interconectadas.

Riesgos clave de ciberseguridad

1 – Ingeniería social

Se produce cuando se manipula a una persona para que proporcione información o introduzca una amenaza en los sistemas de su empresa. La suplantación de identidad, o phishing, y los fraudes 419 son ejemplos básicos que la mayoría de la gente conoce, pero existen métodos más sofisticados que pueden utilizar regalos, pruebas gratuitas y persuasión a través de las redes sociales. «Pueden variar en función del sector, pero las vulneraciones provocadas por personas se han generalizado», explica Oz. «Cuatro de las cinco causas principales de las filtraciones de datos se deben a errores humanos o de procesos».

2 – Malware/Ransomware

«¿Por qué? En parte porque es muy simple. Es bastante sencillo de implementar y ejecutar. Los kits de herramientas preparados hacen que hasta un aficionado pueda componer y distribuir un paquete de ransomware. Los costes o los riesgos asociados a la ejecución del ataque son mínimos», comenta Oz.

3 – Vulnerabilidades en dispositivos del Internet de las cosas (IoT)

El crecimiento del Internet de las cosas (IoT) ha provocado cambios drásticos en el panorama de la ciberseguridad en los últimos años. A medida que aumentan los dispositivos conectados que hay en circulación, también lo hace la superficie de ataque. Las vulnerabilidades en estos dispositivos son prácticamente inevitables. Una vez que existe el riesgo en una masa crítica de equipos, los delincuentes pueden lanzar ataques DDoS», añade Oz.

Cómo reducir los riesgos de ciberseguridad

Para reducir riesgos de ciberseguridad, las empresas deben plantearse tanto las cuestiones técnicas como el papel que las personas desempeñan en el área de ciberseguridad. En la parte técnica, contar con la solución empresarial adecuada es fundamental. Esta parte debe abarcar cifrado de archivos, copias de seguridad, registros financieros, datos de clientes, sistemas de pago en línea, seguridad en la nube, sistemas de control industrial y seguridad de terminales, incluidos los dispositivos de IoT. Esto debe ir acompañado de prácticas de informática que abarquen el acceso a redes, la administración de sistemas, la aplicación eficiente de parches y los controles de aplicaciones.

En la parte humana, significa poner en marcha programas formativos que refuercen el conocimiento, mejoren el comportamiento e incentiven al personal a desarrollar hábitos de ciberseguridad saludables. Conviene plantear políticas de seguridad sensatas para no hacer más difícil la vida del personal. Deben estar centradas en las personas, ir más allá de rellenar formularios y estar respaldadas por pruebas científicas», explica Oz.

Incorpora la ciberseguridad a tu política de responsabilidad social corporativa

Partiendo de que los hackers dirigen sus ataques a los proveedores para infiltrarse en organizaciones más grandes, es importante que las empresas de todos los tamaños traten la ciberseguridad como un problema de la cadena de suministro; incluso existen voces que reclaman que se convierta en un área de pleno derecho dentro de la política de responsabilidad social corporativa. En 2018 entró en vigor en toda la UE el Reglamento General de Protección de datos (RGPD) el cual incluye protecciones sólidas para los datos personales de los consumidores, y los ciberataques son una posible amenaza para esta información. Sin embargo, tal como se destaca en la encuesta sobre infracciones de ciberseguridad en el Reino Unido mencionada anteriormente, solo el 27% de las empresas ha implantado una política de ciberseguridad. Más allá de los reglamentos, existe un beneficio inherente para las empresas que gestionan adecuadamente el riesgo de la cadena de suministro asociado con las ciberamenazas», comenta Oz. «Seguro que los lectores saben que las cadenas de suministro interrumpidas perjudican los márgenes. Solo unas horas de inactividad pueden resultar catastróficas. Una línea de producción desconectada puede provocar pérdidas masivas. Fundamentalmente, hay que tener en cuenta la importancia de incorporar la ciberseguridad a tu política de responsabilidad social corporativa.»

Reduce el riesgo de tu cadena de suministro

A medida que aumenta la amenaza de los ciberataques a las cadenas de suministro, es importante que tanto compradores como proveedores se aseguren de que sus empresas están preparadas para afrontar el reto. Este estudio en Reino Unido mostró que el 74% de las empresas consideraba la ciberseguridad como una cuestión prioritaria, aunque el 73% de ellas no había implantado políticas al respecto. Con nuestro programa de “Rewards”, los proveedores del Reino Unido pueden optar a descuentos exclusivos del 20% en formación en ciberseguridad y conformidad con CybSafe y CyberSmart. Evita formar parte del 43% que podría enfrentarse a una violación de la seguridad en 2019.



Reciba increíbles conocimientos en su buzón de correo cada mes

Subscribirse