Cómo mejorar la ciberseguridad en la cadena de suministro

El pasado mes de julio, la ausencia de barreras de seguridad en los servidores de algunos proveedores de servicios de ingeniería llevó a la exposición de al menos 157 gigabytes de datos confidenciales de más de 100 fabricantes de automóviles y piezas automovilísticas. La vulnerabilidad fue revelada este verano y todavía no está claro si algún usuario malintencionado tuvo acceso a los datos.

Esta es una de las muchas brechas que se han producido en el último año, lo que subraya la importancia de implementar un sistema de gestión de riesgos de ciberseguridad de los proveedores.

Vulnerabilidades tecnológicas de la cadena de suministro

La cadena de suministro es una parte integral, no solo del modelo comercial de una empresa, sino también del ecosistema cibernético de la misma. Los distribuidores y proveedores pueden tener conexiones directas con las redes o sistemas de una empresa (incluidos los sistemas ERP, pedidos y facturación) o pueden tener acceso a datos personales y datos corporativos propios. Asimismo, existen interconexiones similares entre los proveedores a lo largo de las cadenas de suministro.

Esto aumenta drásticamente el perímetro de ataque de una compañía, es decir, amplía las oportunidades para que los hackers accedan a sus datos. Aun así, los límites y las exposiciones de esta “superficie de ataque” a menudo no se comprenden bien. Los ataques sofisticados son cada vez más comunes, lo que hace que la mayoría de las empresas prioricen la protección de los activos sensibles. Sin embargo, las empresas siguen siendo muy vulnerables a través de los datos y sistemas que comparten con terceros.

Evaluar las relaciones con su proveedor

Las empresas que no cuenten con unas medidas de ciberseguridad robustas dentro de sus cadenas de suministro deben realizar evaluaciones más profundas de su relación contractual con los proveedores. Por ello, es recomendable hacerse las siguientes preguntas:

● ¿Tengo un inventario completo de proveedores y terceros con acceso a mis datos? El primer paso para proteger sus datos es saber quién tiene acceso a ellos. Identificar qué información se comparte y con qué proveedores, le permite comprender cómo de grandes, amplias y profundas son sus relaciones con los mismos.

●  ¿Cómo espero que estas compañías gestionen y protejan mis datos? Una vez que se han identificado las relaciones, es esencial desarrollar una política que sus proveedores deben cumplir para acceder y proteger sus datos. También determine qué proveedores cuentan con póliza de ciberriesgos en el caso de que surja un incidente.

●  ¿Cómo controlo a los proveedores para asegurarme de que cumplen las expectativas? Las herramientas de monitorización en tiempo real pueden detectar problemas experimentados por proveedores particulares, como malware activo o bots provenientes de sus redes. Se debe establecer un programa formal de evaluación y análisis para una monitorización continua o incluso permanente. Y aunque esto se puede hacer anualmente como parte de una evaluación de cumplimiento estándar, es prudente realizar estos controles con mayor frecuencia. Los proveedores que se ocupan de datos más confidenciales, o para los que una gran parte de esa relación se basa en la gestión de datos, probablemente se evaluarán trimestralmente.

Si se identifica un problema durante esta monitorización, debe haber un recurso claramente definido con el proveedor. Su empresa también puede considerar autorizar a su responsable de ciberseguridad  a suspender la monitorización o incluso cancelar proveedores que no puedan demostrar que pueden salvaguardar adecuadamente los datos de su empresa, cadena de suministro u operativa.