Una cadena de suministro es tan fuerte como su eslabón más débil.
La fuerza de una cadena no reside en sus eslabones individuales, sino en la forma en que están conectados. Lo mismo puede decirse de una cadena de suministro. Cada componente debe ser fuerte y fiable en sí mismo, pero la verdadera prueba es su capacidad para funcionar como un todo, con todas sus partes trabajando perfectamente juntas.
Con la creciente dependencia de cadenas de suministro globales y complejas para materiales y productos, las empresas están hoy expuestas a una serie de amenazas a la seguridad que pueden tener graves consecuencias.
Una violación de la cadena de suministro puede acarrear pérdidas económicas, dañar la reputación de la empresa e incluso perjudicar a sus clientes.
En 2021, BlueVoyant, proveedor de servicios y soluciones de seguridad informática, informó de que 98% de las organizaciones encuestadas afirmaron haberse visto afectadas por una violación de la seguridad de la cadena de suministro.
Según ENISA (Agencia Europea de Ciberseguridad), 58% de los incidentes analizados el año pasado afectaron a vendedores cuyo objetivo principal era acceder a los datos de sus clientes, incluida la información de identificación personal (IPI) y la propiedad intelectual.
Y en 2022, en un estudio mundial de más de 1.000 directores de información, 82% de los encuestados afirmaron que sus organizaciones eran vulnerables a los intentos de ciberataque dirigidos a las cadenas de suministro.
Entre los factores que preocupan a las empresas a la hora de gestionar el ciberriesgo de sus proveedores, los principales son:
- El gran tamaño de las cadenas de suministro corporativas, que pueden incluir cientos o miles de proveedores para una sola empresa.
- Diferencias en los requisitos de ciberseguridad entre los países de los vendedores
- Insuficiente preparación, concienciación y dotación de recursos de los proveedores para aplicar prácticas eficaces de ciberseguridad.
- Falta de atención a la seguridad de los proveedores por parte de departamentos como el de compras, que a menudo no especifican los requisitos de seguridad en sus solicitudes de ofertas.
- Para reducir eficazmente el riesgo de violaciones de la seguridad de los proveedores, es importante adoptar las medidas de gestión de riesgos que se describen a continuación:
Entonces, ¿cómo enfocar una estrategia eficaz para considerar a los proveedores un componente importante de la propia "superficie de ataque"?
Reforzar las medidas para aumentar la seguridad de la cadena de suministro
Auditar a los proveedores es un primer paso importante para garantizar la seguridad de su cadena de suministro. Identifique a los proveedores con mayor riesgo y considere su papel en el suministro de componentes críticos que su empresa difícilmente podría sustituir en caso de fallo o interrupción.
Introducir la "seguridad" en las RFP
Tradicionalmente, los departamentos como el de compras que emiten solicitudes de propuestas (RFP) a los proveedores se han centrado en el tipo, la calidad y el plazo de entrega de los componentes pedidos, sin tener en cuenta la seguridad. Ahora, sin embargo, es crucial que las empresas den prioridad a la seguridad en sus licitaciones y la consideren una condición necesaria para hacer negocios con sus proveedores. Si un determinado proveedor de misión crítica no dispone de los recursos necesarios para cumplir los requisitos de seguridad, la empresa está obligada a elaborar un plan que le ayude a cumplirlos. Además, las empresas deben auditar periódicamente la seguridad de sus proveedores para asegurarse de que se introducen las mejoras necesarias.
Sensibilizar a la organización sobre la gestión de riesgos en la cadena de suministro
Aunque los departamentos de TI suelen ser los responsables de la gestión de la seguridad, es importante asegurarse de que otras partes de la dirección, incluido el departamento de compras, también sean conscientes de la seguridad y la consideren una prioridad.
Para ello, el CIO debe esforzarse por entablar un diálogo con otros colegas del equipo directivo y con el consejo de administración. Esto garantiza que todos se comprometan plenamente a implantar y apoyar un proceso eficaz de gestión de la seguridad, incluso mediante las inversiones financieras necesarias.
Implantar herramientas para garantizar la seguridad de la cadena de suministro
Además, las TI pueden utilizar herramientas informáticas para mejorar la seguridad de la cadena de suministro. Algunas opciones son, por ejemplo:
- Marco informático para la evaluación de proveedoresSoftware comercial disponible que proporciona plantillas de cuestionarios de seguridad personalizables para ayudar a identificar a los proveedores de alto riesgo para la seguridad.
- Evaluación automática de la superficie de fijaciónHerramientas automatizadas para la medición objetiva de las amenazas potenciales derivadas de una mala configuración del perímetro digital del proveedor (correo electrónico, sitio web, acceso a bases de datos de prueba con sus datos, etc.).
- Planes de reparación compartidos: No basta con haber realizado un análisis inicial, sino que es importante desarrollar un plan de acción. en función de los resultados obtenidos, incluyendo una lista de acciones a emprender de forma compartida con su proveedor, desde las más urgentes hasta las que pueden esperar.
Conclusiones
En resumen, la elaboración de un plan global de gestión de la seguridad de la cadena de suministro es esencial para protegerse contra este tipo de riesgos.
Aplicando medidas proactivas, vigilando periódicamente las vulnerabilidades y disponiendo de un plan de respuesta, las empresas pueden protegerse a sí mismas, a sus clientes y su reputación.
Cómo le ayuda Cyberangels
La nueva solución Ciberángeles - Gestión de riesgos de terceros (CBR - TPRM) puede ayudarle a gestionar y automatizar los pasos descritos en este artículo.
CBR - TPRM nació de la experiencia adquirida a lo largo de los años, de haber ayudado a miles de profesionales, microempresas y pequeñas y medianas empresas a ser más resistentes al ciberriesgo, sin gastar una fortuna. La solución cuenta con:
- Una plataforma web, accesible desde cualquier dispositivo y sin instalación.
- Uno herramienta automatizada para realizar la diligencia debida a los proveedores, con la posibilidad de integrarla en sus propios sistemas.
- A tablero de mandos integrado que le permite controlar todos los datos relevantes relativos a cada proveedor.
- A motor propio para el cálculo de la calificación cibernética de los proveedores que analiza los principales factores que afectan a la salud de un proveedor, el nivel de gestión de los riesgos cibernéticos y el nivel de dependencia del cliente, calculado a partir de una evaluación automática y de las tendencias del sector, es decir, la información relativa a la posición de la empresa en relación con el sector correspondiente.
Si aún tiene dudas sobre cómo realizar una adecuada auditoría de riesgos de sus proveedores, esperamos que este artículo le haya proporcionado suficiente información para entender por qué es importante y cómo empezar.
Para cualquier información adicional, contacte con nuestro equipo. Dejemos que Cyberangels diferénciese de la competencia: siga centrándose en los retos de su negocio, nosotros nos encargamos de su seguridad.
