Cómo abordar la ciberseguridad a través de la tecnología, las personas y los procesos
La evolución de las redes de la cadena de suministro a lo largo de los años ha sido impulsada en gran medida por la tecnología. Organizaciones de todos los tamaños se están moviendo hacia el espacio digital, algunas impulsadas por las interrupciones del año pasado. Si bien las empresas construyen fortalezas de ciberseguridad para sí mismas, existen varias vulnerabilidades en los puntos de contacto con fabricantes, proveedores, socios globales y otros proveedores de servicios a considerar. Las amenazas acechan alrededor de esas partes, esperando violar la seguridad a la primera oportunidad.
La ciberseguridad ha madurado hasta cierto punto para las empresas más grandes, aunque se enfoca dentro del perímetro de la organización. Existe una falta de gobernanza y control sobre los departamentos individuales que tratan con otras entidades en el ecosistema, muchas de las cuales son empresas más pequeñas que tienen poca fuerza en ciberseguridad. Estos son puntos de entrada favorables para los piratas informáticos.
Con el advenimiento de tecnologías disruptivas como los vehículos sin conductor, la automatización de procesos robóticos y la digitalización de un extremo a otro, los límites de la seguridad cibernética entre las organizaciones se están volviendo más borrosos. Aproximadamente el 80% de las infracciones notificadas se producen en las redes de la cadena de suministro. Dondequiera que aparezca su organización en la cadena de suministro, si está conectado, corre un riesgo.
Las amenazas a la cadena de suministro incluyen denegación de servicio, fugas de datos, robos de datos de clientes, interrupción del negocio y otros ataques de malware como ransomware. A medida que avanza, la cadena de suministro es tan fuerte como su eslabón más débil.
El abordaje de la ciberseguridad en la red de la cadena de suministro debe verse a través de tres lentes:tecnología, personas y procesos.
Tecnología
Toda la cadena de suministro debe incluirse en los planes de protección, mitigación y respuesta de la ciberseguridad. La respuesta y la recuperación no deben limitarse a configuraciones de tecnología interna.
La adopción de tecnología en la nube, dispositivos de Internet de las cosas (IoT) y servidores virtuales abre nuevas perspectivas para las infracciones. Garantice los procedimientos de ciberseguridad adecuados, como las autenticaciones de dos factores y el control de acceso biométrico en todos los sistemas internos y de terceros. Los planes de recuperación y mitigación de riesgos deben documentarse como un proceso estándar.
El uso de software de código abierto podría ser una fuente de amenazas, y se debe planificar un monitoreo adecuado para estas configuraciones.
La tecnología Blockchain es una tendencia emergente que tiene el potencial de mejorar la transparencia y la eficiencia, junto con un alto nivel de seguridad de datos en múltiples socios comerciales. Puede permitir una mejor visibilidad de los flujos de productos, datos y financieros a lo largo de la cadena de suministro. Es adoptado en gran medida por empresas con operaciones complejas y su impacto real aún está por verse. Los expertos creen que las organizaciones, como mínimo, deberían evaluar la viabilidad y los beneficios potenciales de blockchain.
Personas
Todos los empleados y socios comerciales deben estar incluidos en el marco de seguridad. Las funciones y responsabilidades claras para todo el personal y las entidades de terceros en las medidas de protección, detección y respuesta y recuperación son esenciales.
Las políticas de traiga su propio dispositivo (BYOD) son una fuente importante de malware y phishing en la cadena de suministro, y deben ser un enfoque clave. No se debe permitir que ningún dispositivo propiedad del personal se conecte a la infraestructura corporativa sin canalizarlos a través de una red privada virtual (VPN).
Proceso
Establezca procesos para la debida diligencia de la postura de ciberseguridad antes de incorporar cualquier entidad nueva en su ecosistema. El monitoreo regular para asegurar el cumplimiento de los procesos por parte de todas las entidades es esencial para asegurar la capacidad del plan de recuperación y respuesta.
La diseminación de inteligencia sobre amenazas es otro factor que puede marcar una gran diferencia en el proceso general de ciberseguridad, pero aún no ha madurado como práctica estándar.
Establezca procesos para eliminar el acceso de terceros después de que se complete el contrato, ya que esto ha sido un error costoso para muchas empresas.
Las empresas deben implementar pautas y estándares de acceso a datos en toda la empresa, especialmente cuando se comparten datos confidenciales entre organizaciones.
Las auditorías mensuales del servidor y la red ayudan a mantener un buen seguimiento de todos los accesos especiales y de administrador.
A continuación, se presentan algunas pautas clave que debe tener en cuenta al desarrollar un plan de seguridad para toda la red de socios comerciales.
- No funcionará si no es un esfuerzo colaborativo. Debe alentar y educar a las empresas más pequeñas con las que trabaja sobre las amenazas a la seguridad cibernética. Las pymes, a su vez, pueden buscar el apoyo de sus socios más grandes.
- Los expertos en cadena de suministro promueven la idea de asumir que tarde o temprano se producirá una infracción, por lo que tener un plan de ciberresiliencia es imprescindible hoy en día.
- Todavía no existe un marco amplio que admita empresas de todos los tamaños en lo que respecta a la gestión de la ciberseguridad de la cadena de suministro. Sin embargo, los proveedores y otras partes pueden llevar a cabo iniciativas de verificación independientes y estandarizadas.
- Las pruebas de penetración pueden eliminar vulnerabilidades conocidas y potenciales.
- Se debe establecer un equipo o gerente central que monitoree regularmente la configuración de ciberseguridad para toda la cadena de suministro, para evitar "silos" de la red no administrada.
- Las empresas deben considerar el uso de inteligencia artificial para detectar amenazas e infracciones de manera más proactiva y activar los sistemas de respuesta a tiempo.
Vijaya Rao es fundador y director ejecutivo de TechVio , un I.T. empresa de servicios.
Tecnología Industrial
- Cómo ve un banquero de inversión el mercado de la logística y la tecnología de la cadena de suministro
- Cómo la tecnología promete transformar las industrias agrícolas y alimentarias
- Puertos inteligentes y contenedores conectados:cómo la tecnología de IoT está transformando el envío
- ¿Qué está realmente retrasando la entrega de alimentos y cómo puede ayudar la tecnología de logística?
- Próxima fase de ventas al por menor de vídeo inmersivo, inteligencia artificial y modelado tecnológico
- Gente vs. Tecnología:donde más dependen las cadenas de suministro
- ¿Cómo puede la tecnología de reconocimiento de voz mejorar los procesos de fabricación?
- ¿Qué es la soldadura fuerte de cobre y cómo hacerla?
- El vínculo entre la tecnología y las personas
- Cómo influye la Industria 4.0 en la ciberseguridad
- Cómo IoT y la automatización industrial impulsan la innovación