Cómo establecer la ciberseguridad de la cadena de suministro

El Instituto Nacional de Normas y Tecnología de Estados Unidos recomienda una guía de diez pasos para salvaguardar adecuadamente los activos de tecnologías de información (TI).

A medida que las cadenas de suministro globales se vuelven cada vez más digitales, las empresas están expuestas a riesgos de innumerables fuentes indirectas. Un sistema es tan fuerte como su eslabón más débil, y los piratas informáticos cazarán meticulosamente para descubrir un componente vulnerable.

Esta explotación tiene un alto precio. Según el informe Security Cost of Data Breach Report de IBM, 5,52 millones de dólares es el coste total medio de una filtración para las empresas de más de 25 mil 000 empleados y 2,64 millones para las organizaciones de menos de 500 empleados. La mayoría de las empresas pagan a los hackers el rescate que piden. Este verano, Colonial Pipeline Co. y JBS SA pagaron a los piratas informáticos 4,4 y 11 millones de dólares respectivamente para recuperar los datos cifrados tras los ciberataques masivos.

Otras consecuencias son la interrupción del servicio al cliente, el debilitamiento de la confianza y la pérdida de ventaja competitiva.

Los ciberdelincuentes están evadiendo las barreras e identificando los puntos débiles para explotar las cadenas de suministro con más eficacia que nunca.

Los ataques no sólo perjudican a las empresas, sino también a los clientes. El 80% de las infracciones afectan a información personal identificable (PII). Los piratas informáticos utilizan la PII y las contraseñas para acceder a las distintas cuentas de un individuo en la web. Además, cualquier ruptura en la cadena de suministro -ya sea en su empresa o en la de terceros o cuartos proveedores- repercute en la producción de bienes y servicios, a la vez que hace subir los precios.

En el Informe de Seguridad de CrowdStrike -una encuesta realizada a más de mil participantes-, dos tercios de los responsables de la toma de decisiones de TI y de los profesionales de la ciberseguridad revelaron que sus organizaciones habían sufrido un ataque a la cadena de suministro de software. El mismo número confesó que su empresa no está adecuadamente preparada para defenderse de una futura brecha. Las empresas deben ser proactivas y centrarse en la creación de una resistencia cibernética para evitar su explotación.

El Instituto Nacional de Normas y Tecnología (NIST), que forma parte del Departamento de Comercio de Estados Unidos, recomienda los siguientes pasos para salvaguardar adecuadamente los activos de TI.

Identificación: Localice los posibles vectores de amenaza -rutas que los ataques maliciosos pueden tomar para superar sus defensas e infectar su red- realizando evaluaciones internas de riesgos y vulnerabilidades. Considere la posibilidad de contratar a una empresa para que realice una evaluación avanzada.

Protección: Adopte las medidas necesarias para proteger a su organización y prevenir las amenazas.

Reducción de la exposición. Además de la protección básica que proporcionan los cortafuegos y el software antivirus, es vital establecer procedimientos de acceso privilegiado. Siga el principio del menor privilegio: sólo se permite el acceso a los empleados que necesitan acceder a los datos sensibles.

Herramientas como el análisis del comportamiento, la detección y respuesta de puntos finales (EDR), la inteligencia artificial (IA) y la inteligencia sobre amenazas pueden reforzar las defensas. Las empresas deben adoptar prácticas de codificación seguras y consultar los diez principales riesgos de seguridad de las aplicaciones web del Open Web Application Security Project (OWASP).

Compromiso y formación de los empleados. Los empleados son la última línea de defensa en ciberseguridad y uno de los vectores de amenaza más comunes. Es fundamental comprometer a todos los empleados; la suite ejecutiva no está exenta. Establezca una cultura de sana sospecha entre los empleados. Este enfoque puede parecer demasiado paranoico, pero lo que está en juego puede ser muy importante.

Imparta formación de concienciación y realice campañas internas de phishing para exponer a los empleados a las técnicas más recientes de spam e ingeniería social. Cualquier empleado que caiga en una campaña de phishing debe ser obligado inmediatamente a recibir formación. Inculque una cultura de contraseñas sólidas en la que los empleados tengan contraseñas variadas y seguras. Asegúrese de que entienden que, si se viola una contraseña en un lugar, es posible y relativamente sencillo que los hackers la utilicen en otras cuentas asociadas al mismo correo electrónico.

Existen innumerables recursos de ciberseguridad útiles (y gratuitos) para complementar el aprendizaje de los empleados y mantenerlos actualizados sobre las últimas tendencias del sector, como los módulos de formación virtual que ofrece el Departamento de Seguridad Nacional de Estados Unidos.

Seguros. Asegúrese de tener un seguro adecuado en caso de ataque. Algunos proveedores de seguros incluyen protecciones contra el ransomware. Infórmese sobre qué cosas no están cubiertas en un ciberataque.

Seguridad física. Proteja al personal, al hardware, al software, a las redes y a los datos de las intrusiones y acciones físicas. Considere soluciones como cámaras de vigilancia, guardias de seguridad, sistemas de seguridad, barreras, cerraduras, tarjetas de acceso, alarmas de incendio, rociadores y otros sistemas diseñados para proteger a los empleados y la propiedad.

Tenga cuidado con el piggybacking. Mantener la puerta abierta para alguien que entra en la oficina con las manos llenas puede parecer educado, pero supone una amenaza para la seguridad. Asegúrese de que todos los que entren en las instalaciones de la empresa sean personal autorizado.

Relaciones comerciales selectivas. Los ciberataques a través de las redes de proveedores son cada vez más frecuentes. Según el estudio de 2020 Cyber Resilient Organization, del Instituto Ponemon, el 56% de las organizaciones informan de que han sufrido una brecha de ciberseguridad causada por un proveedor externo. A la hora de determinar un nivel de riesgo aceptable, sea selectivo a la hora de elegir contratistas o socios para trabajar con su empresa.

Notificación de incidentes. Inculque una buena cultura y educación para la notificación de incidentes. Los profesionales de TI son más capaces de reducir los posibles daños si se enteran antes.

Detectar: Se ha dicho que una casa sin detectores de humo es lo mismo que una red sin vigilancia. La supervisión continua de los eventos de seguridad debe incluir los entornos físicos, las redes, los proveedores de servicios y la actividad de los usuarios. Los escaneos de vulnerabilidad son una gran herramienta y deben realizarse regularmente en los sistemas que contienen información sensible.

Respuesta y recuperación: Es evidente la correlación entre el tiempo de respuesta y el coste de un ataque. Los sectores que más tardan en detectar, reaccionar, responder y remediar incurren en los costes más elevados. Una respuesta rápida puede ayudar a mitigar el impacto. Sin embargo, no puede eliminar la posibilidad, por lo que siempre hay que hacer hincapié en la prevención.

Un plan de recuperación de desastres es fundamental para restaurar el acceso a los datos y la infraestructura de TI después de un desastre. La recuperación depende del alcance de los daños.

Trace un plan de respuesta y una hoja de ruta de remediación para todos los posibles escenarios de incidentes en forma de plan de continuidad del negocio. Incluya tácticas que mantengan la empresa operativa durante un desastre. Determine la criticidad de los proveedores y un curso de acción si los proveedores clave son atacados. Consiga proveedores y copias de seguridad para sus copias de seguridad en caso de que tenga que cambiar de proveedor para atender a los clientes.

Como parte de un plan eficaz de recuperación de desastres, se recomienda simular una violación de la ciberseguridad al menos una vez al año. A través de estos simulacros, el personal pertinente entiende su papel y los procedimientos que deben seguirse.

La ciberseguridad será un obstáculo importante para las empresas de todos los tamaños a medida que las cadenas de suministro se vuelvan más complejas. Identifique los eslabones débiles de la cadena de suministro para garantizar que se minimizan las vulnerabilidades y para prevenir los eventos de amenaza. La creación de una resistencia cibernética preparará a su empresa para el peor de los casos, que de otro modo sería más caro y perjudicial.

Ver el artículo original en https://bit.ly/3msNDNh

Para #SCMThink: Claudio Abarca

#EtiquetaMarketingGroup

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *