Una guía de 10 puntos para establecer la ciberseguridad de la cadena de suministro

A medida que las cadenas de suministro globales se vuelven cada vez más digitales, las empresas están expuestas a riesgos de innumerables fuentes indirectas. Un sistema es tan fuerte como su eslabón más débil, y los piratas informáticos buscarán meticulosamente para descubrir un componente vulnerable.

Esta explotación tiene un precio elevado. Según el informe del costo de seguridad de la violación de datos de IBM, $ 5,52 millones es el costo total promedio de una violación para empresas de más de 25,000 empleados y $ 2,64 millones para organizaciones con menos de 500 empleados. La mayoría de las empresas pagan a los piratas informáticos el rescate que exigen. Este verano, Colonial Pipeline Co. y JBS SA pagaron a los piratas informáticos $ 4,4 millones y $ 11 millones, respectivamente, para recuperar datos cifrados después de ataques cibernéticos masivos.

Otros impactos incluyen servicio al cliente interrumpido, confianza socavada y pérdida de ventaja competitiva.

Los ciberdelincuentes están evadiendo barreras e identificando debilidades para explotar las cadenas de suministro con más eficacia que nunca. En el caso de Colonial Pipeline, los piratas informáticos abusaron de un perfil de red privada virtual (VPN) heredado que solo requería autenticación de factor único.

Los ataques no solo paralizan a las empresas, sino que también perjudican a los clientes. El ochenta por ciento de las infracciones involucran información de identificación personal (PII). Los piratas informáticos utilizan PII y contraseñas para acceder a las distintas cuentas de una persona en la web. Además, cualquier ruptura en una cadena de suministro, ya sea su empresa o proveedores externos o de terceros, afecta la producción de bienes y servicios y, al mismo tiempo, aumenta los precios.

En el Informe de seguridad de CrowdStrike, una encuesta a más de 1.000 participantes, dos tercios de los responsables de la toma de decisiones de TI de alto nivel y los profesionales de ciberseguridad revelaron que sus organizaciones habían experimentado un ataque a la cadena de suministro de software. El mismo número confesó que su empresa no está adecuadamente preparada para defenderse de un futuro incumplimiento. Las empresas deben ser proactivas y centrarse en desarrollar la resiliencia cibernética para evitar la explotación.

El Instituto Nacional de Estándares y Tecnología (NIST), parte del Departamento de Comercio de los Estados Unidos, recomienda los siguientes pasos para proteger adecuadamente los activos de TI.

Identificación

Localice los vectores de amenazas potenciales (rutas que pueden tomar los ataques malintencionados para superar sus defensas e infectar su red) mediante la realización de evaluaciones internas de riesgo y vulnerabilidad. Considere contratar a una empresa para realizar una evaluación avanzada.

Protección

Tome las acciones necesarias para proteger su organización y prevenir eventos de amenazas:

• Reducción de la exposición. Además de la protección básica que brindan los firewalls y el software antivirus, es vital establecer procedimientos de acceso privilegiado. Siga el principio de privilegio mínimo:solo los empleados que necesitan acceder a datos confidenciales tienen acceso permitido.

Herramientas como análisis de comportamiento, detección y respuesta de endpoints (EDR), inteligencia artificial (AI) e inteligencia de amenazas pueden fortalecer las defensas. Las empresas deben adoptar prácticas de codificación seguras y consultar el Proyecto de seguridad de aplicaciones web abiertas (OWASP) Diez principales riesgos de seguridad de aplicaciones web.

• Compromiso y formación de los empleados. Los empleados son la última línea de defensa en ciberseguridad y uno de los vectores de amenazas más comunes. Es fundamental involucrar a todos los empleados; la suite ejecutiva no está exenta. Establecer una cultura de sana sospecha entre los empleados. Este enfoque puede parecer demasiado paranoico, pero hay mucho en juego.

Instituya campañas de formación de concienciación y de suplantación de identidad internas para exponer a los empleados a las últimas técnicas de ingeniería social y spam. Cualquier empleado que se enamora de una campaña de phishing debe recibir una formación de inmediato. Inculque una cultura de contraseñas sólida en la que los empleados tengan contraseñas seguras y variables. Asegúrese de que comprendan que si se viola una contraseña en un lugar, es posible y relativamente simple para los piratas informáticos usarla en otras cuentas asociadas con el mismo correo electrónico.

Hay innumerables recursos de ciberseguridad útiles (y gratuitos) disponibles para complementar el aprendizaje de los empleados y mantenerlos actualizados sobre las últimas tendencias de la industria, como los módulos de capacitación virtual proporcionados por el Departamento de Patria de EE. UU. Seguridad.

• Seguro. Asegúrese de tener un seguro adecuado en caso de un ataque. Algunos proveedores de seguros incluyen protecciones contra ransomware. Pregunte qué cosas no están cubiertas en un ciberataque.
• Seguridad física . Proteja al personal, hardware, software, redes y datos de intrusiones y acciones físicas. Considere soluciones como cámaras de vigilancia, guardias de seguridad, sistemas de seguridad, barreras, cerraduras, tarjetas de acceso, alarmas contra incendios, rociadores y otros sistemas diseñados para proteger a los empleados y la propiedad.

Tenga cuidado con llevar a cuestas. Mantener la puerta abierta para alguien que entra a la oficina con las manos ocupadas puede parecer cortés, pero representa una amenaza para la seguridad. Asegúrese de que todo el que ingrese a las instalaciones de la empresa sea personal autorizado.

• Relaciones comerciales selectivas . Los ciberataques a través de redes de proveedores son cada vez más comunes. Según el Estudio de organizaciones ciberresistentes de 2020 del Ponemon Institute, el 56% de las organizaciones informan que han experimentado una brecha de seguridad cibernética causada por un proveedor externo. Al determinar un nivel aceptable de riesgo, sea selectivo al elegir contratistas o socios para trabajar con su empresa.
• Informe de incidentes . Inculcar una buena cultura y educación para informar incidentes. Los profesionales de TI son más capaces de reducir los daños potenciales si los conocen antes.

Detectar

Se ha dicho que una vivienda sin detectores de humo es lo mismo que una red sin monitorización. El monitoreo continuo de eventos de seguridad debe incluir entornos físicos, redes, proveedores de servicios y actividad de los usuarios. Los análisis de vulnerabilidades son una gran herramienta y deben realizarse con regularidad en sistemas que contienen información confidencial.

Respuesta y recuperación

Es evidente una correlación entre el tiempo de respuesta y el costo de un ataque. Las industrias que tardan más en detectar, reaccionar, responder y remediar incurren en los costos más altos. Una respuesta rápida puede ayudar a mitigar el impacto. Aún así, no puede eliminar la posibilidad, por lo que siempre se hace hincapié en la prevención.

Un plan de recuperación ante desastres es fundamental para restaurar el acceso a los datos y la infraestructura de TI después de un desastre. La recuperación depende del alcance del daño.

Elabore un plan de respuesta y una hoja de ruta de remediación para todos los escenarios de incidentes potenciales en forma de un plan de continuidad comercial. Incluya tácticas que mantendrán el negocio operativo durante un desastre. Determine la importancia del proveedor y el curso de acción si atacan a los proveedores clave. Obtenga proveedores de respaldo y respaldos para sus respaldos en caso de que necesite cambiar a otro proveedor para acomodar a los clientes.

Como parte de un plan eficaz de recuperación ante desastres, se recomienda simular una infracción de seguridad cibernética al menos una vez al año. A través de estos simulacros, el personal relevante comprende su función y los procedimientos a seguir.

La ciberseguridad será un obstáculo importante para las empresas de todos los tamaños a medida que las cadenas de suministro se vuelvan más complejas. Identifique los eslabones débiles en la cadena de suministro para garantizar que las vulnerabilidades se minimicen y para prevenir eventos de amenaza. Desarrollar la resiliencia cibernética preparará a su empresa para el peor de los casos que, de otro modo, sería más costoso y perjudicial.

Marc Lewis es director de seguridad de la información en Visible Supply Chain Management.