Protección de la cadena de suministro global con datos sin fronteras

Los ataques de ciberseguridad en la cadena de suministro no son nuevos, pero están lejos de estar bajo control.

Un estudio reciente de Resilience 360 ​​encontró que hubo casi 300 incidentes de ciberseguridad que afectaron a las entidades de la cadena de suministro en 2019. Con el intercambio comercial promedio de datos con más de 500 terceros, no es de extrañar que el Instituto Ponemon informa que aproximadamente el 61% de las empresas estadounidenses han experimentado una violación de datos dentro de sus cadenas de suministro.

Si bien las tensiones geopolíticas impulsaron una amplia franja de esos ataques, 2020 ha dado paso a una tormenta perfecta de oportunidades, ya que COVID-19 ha obligado a una gran parte de la fuerza laboral mundial a trasladarse al trabajo remoto. Las organizaciones, desde los gobiernos hasta las empresas, deben asumir la responsabilidad de proteger los datos que procesan y comparten. Con la colaboración tan crucial para mantener la innovación y la productividad, esto debe hacerse sin sofocar el flujo de ideas e información, o hacer que los sistemas y procesos no funcionen.

Cuando COVID-19 golpeó a los EE. UU. Con fuerza en el primer trimestre de este año, las organizaciones respondieron trasladando a los empleados al trabajo remoto casi de la noche a la mañana. En junio de 2020, un increíble 42% de los trabajadores estadounidenses realizaban negocios de forma remota desde casa y migraban oficinas. Con una fuerza laboral altamente móvil y ecosistemas de proveedores que se están volviendo cada vez más complejos y dispersos globalmente, la amenaza a la propiedad intelectual y la información confidencial o clasificada se intensifica.

Los equipos de proyectos utilizan a diario plataformas móviles y en la nube para compartir y almacenar datos, lo que podría exponerlos al acceso de usuarios no autorizados. También se lleva físicamente fuera de la organización en teléfonos inteligentes, discos duros extraíbles y dispositivos de almacenamiento USB que son propensos al robo y la pérdida. En este contexto, los datos cruzan constantemente las fronteras de empresas y naciones. Ya no hay un perímetro claro que defender.

Si bien los piratas informáticos deliberados son ahora un lugar común, una de las mayores amenazas para la seguridad sigue siendo el robo, la pérdida y el uso indebido de datos en movimiento. La investigación de Apricorn en 2018 señaló que el 29% de las organizaciones encuestadas habían sufrido una violación de datos como resultado directo del trabajo móvil. La misma investigación realizada en 2020 muestra que más de la mitad de los encuestados todavía cree que los trabajadores remotos expondrán a su organización al riesgo de una violación de datos.

Además, una investigación reciente de Digital Guardian muestra un aumento del 123% en el volumen de datos descargados a los medios USB por los empleados desde que llegó el COVID-19, lo que sugiere que los equipos están utilizando almacenamiento extraíble para llevarse a casa grandes volúmenes de datos. A menos que estos dispositivos estén encriptados, es solo cuestión de tiempo antes de que veamos un aumento en las violaciones de datos asociadas con la vulnerabilidad del trabajador remoto.

Un enfoque de seguridad centrado en los datos y basado en políticas protegerá la información en sí, dentro y fuera de los sistemas centrales de una organización, tanto en movimiento como en reposo, al tiempo que permite comunicaciones seguras. La respuesta radica en un enfoque de múltiples capas que combina personas, procesos y tecnología.

Empiece desde dentro. La seguridad no se trata solo de soluciones tecnológicas. Los programas de capacitación y participación en conciencia de seguridad deben extenderse a los equipos de socios y contratistas. Su objetivo aquí es hacer que todos los empleados sean conscientes del valor y los riesgos asociados con los datos, y definir y reforzar su función en la protección de los mismos.

Además, implemente las mejores prácticas de seguridad de datos y administre su cumplimiento. Puede darle a su organización una ventaja mediante la creación de prácticas y políticas sobre cómo interactuar con los datos y protegerlos. Al delinear y hacer cumplir las mejores prácticas para su equipo y cadena de suministro, ayuda a construir una cultura de responsabilidad.

Piense en los datos en términos de un ciclo de vida. Después de haber creado las mejores prácticas para trabajar con datos y protegerlos, las organizaciones deben realizar una auditoría integral que cubra:

• Qué tipo de datos se almacenan y con qué propósito;
• Quién tiene acceso a esos datos;
• ¿Dónde fluyen los datos y
• Cómo se controla actualmente.

Esto hará que sea más fácil detectar áreas de incumplimiento, identificar dónde los datos pueden estar desprotegidos e identificar tecnologías, políticas y procesos que pueden minimizar la exposición al riesgo.

Hacer cumplir la seguridad. Establezca una estrategia que incluya la documentación y el cumplimiento de políticas que controlen cómo se manejan y utilizan los datos confidenciales, y que se extienden a todos los puntos finales, incluidos socios y contratistas. El cifrado debe ser un elemento clave de la estrategia. Si un dispositivo de medios extraíble termina en las manos equivocadas, la información cifrada se volverá ininteligible para cualquiera que intente acceder a ella.

Especialmente en la "nueva normalidad" del trabajo remoto, es imperativo que los departamentos de TI investiguen, identifiquen y exijan un dispositivo de almacenamiento móvil cifrado estándar corporativo y hagan cumplir su uso a través de políticas de listas blancas. El dispositivo debe ser preconfigurable para cumplir con los requisitos de seguridad. , como la seguridad de la contraseña.

Y, debido a que estamos hablando de la cadena de suministro, los requisitos deben estar escritos en contratos de terceros, estableciendo, por ejemplo, las herramientas y tecnologías que deben usarse y cuándo deben actualizarse. Las organizaciones pueden adoptar un enfoque aún más proactivo y establecer estos requisitos en el proceso de solicitud de propuesta (RFP), de modo que las expectativas se establezcan antes de elegir a un tercero.

Medir, monitorear e informar. Para los equipos de TI y seguridad, el dicho "No se puede administrar lo que no se puede medir" es especialmente apropiado. La auditoría continua del cumplimiento, tanto dentro de la organización como a lo largo de la cadena de suministro, proporciona una visibilidad rápida de las infracciones de las políticas, de modo que se puedan abordar mediante formación o procedimientos disciplinarios. El monitoreo también proporcionará una pista de auditoría detallada que le permite a la organización demostrar su posición de cumplimiento, así como un registro preciso de cualquier comportamiento de usuario que no cumpla con las normas.

Una combinación de medidas técnicas y organizativas puede ayudar a reducir la exposición al riesgo en la cadena de suministro, al tiempo que permite el intercambio seguro y la movilidad de la información mientras seguimos trabajando desde casa. Las empresas que controlan sus datos de manera adecuada pueden proteger la confidencialidad, la seguridad nacional y su propia reputación sin comprometer la eficiencia, la agilidad o su ventaja competitiva.

La cadena de suministro en constante expansión, junto con los cambios dramáticos en cómo y dónde trabajamos, significa que las organizaciones deben enfocarse continuamente en la seguridad de terceros. Al crear un plan estratégico de seguridad de datos que audita y mide a lo largo del camino, con énfasis en la concienciación y la capacitación de los empleados, podemos asegurar nuestras cadenas de suministro a pesar de la eliminación de las fronteras físicas.

Jon Fielding es director gerente de Apricornio , un fabricante de dispositivos de almacenamiento de datos USB cifrados por hardware.