Si tiene un adolescente en casa, es posible que se haya encontrado con el juego en línea Entre nosotros. Ubicado en una estación espacial, los jugadores corren como extraterrestres de apariencia idéntica, es decir, hasta que un jugador es golpeado. Los jugadores restantes deben adivinar cuál de sus compañeros es, de hecho, un topo que está causando estragos.
Una vieja idea con un cambio de imagen moderno, el juego en línea no está a un millón de millas de la nueva frontera de las amenazas cibernéticas: los ataques a la cadena de suministro. Desde CloudHopper hasta SolarWinds, las empresas han visto que el fraude por correo electrónico y el compromiso de la cuenta derriban sistemas completos. Lo más preocupante de todo es que las empresas ya no pueden simplemente confiar en sus propios sistemas de seguridad; todo lo que se necesita es una grieta de seguridad cibernética en la cadena de suministro para que los datos confidenciales se filtren a los delincuentes.
Nuestra industria no es ingenua ante el creciente número de ataques que aprovechan nuestra interconectividad cada vez mayor. A medida que las empresas, pequeñas y grandes, comparten datos y activos a escala, nuestras vulnerabilidades colectivas se multiplican, convirtiéndose en objetivos más atractivos para los atacantes que esperan ver caer las fichas de dominó una por una.
Un método principal utilizado por los delincuentes para atacar las cadenas de suministro es la suplantación de identidad, que puede ser notablemente sofisticado. Los ciberdelincuentes pueden pasar meses acechando las cuentas de redes sociales de los empleados y los comunicados de prensa de la empresa para averiguar los detalles de una cadena de suministro, deduciendo dónde podrían insertarse para desviar facturas de manera fraudulenta o alentar a los empleados a participar en estafas de phishing.
Si bien las empresas globales pueden tener los recursos para emplear equipos de seguridad cibernética que puedan evaluar y contener el riesgo de ataques como estos, cada vez más los delincuentes se dirigen a las empresas más pequeñas en la parte inferior de la cadena como puertas traseras a datos de consumidores increíblemente sensibles.
Los profesionales de la seguridad cibernética se han visto sometidos a una enorme presión durante los últimos 18 meses para gestionar la amenaza en múltiples frentes. Mientras que hace 10 años, solo los ciberdelincuentes más sofisticados, generalmente patrocinados por estados hostiles, podían paralizar la infraestructura nacional y el negocio global, los piratas informáticos individuales que llevan a cabo ataques de ransomware ahora representan un riesgo mayor para la seguridad nacional del Reino Unido, según el Centro Nacional de Seguridad Cibernética.
Entonces, ¿cómo podemos garantizar que la seguridad cibernética se mantenga sólida a lo largo de toda la cadena de suministro?
Las empresas deben reconocer su responsabilidad compartida para garantizar que la cadena de suministro sea cibersegura. Todas las empresas tienen la responsabilidad de protegerse a sí mismas para proteger a sus partes interesadas, sus clientes y sus clientes. Sin embargo, de acuerdo con el Encuesta sobre infracciones de seguridad cibernética de DCMS publicado en marzo de 2021, solo el 12% de las empresas del Reino Unido han evaluado el riesgo de seguridad cibernética que plantean sus proveedores.
Esa es una estadística aleccionadora y refleja una actitud general entre los ejecutivos de alto nivel de que la seguridad cibernética sigue siendo una consideración secundaria para la administración. Una preocupación habitual que plantean los CISO es la falta de recursos para proteger adecuadamente los sistemas de la empresa, y mucho menos evaluar los sistemas de los proveedores.
Por tanto, necesitamos un cambio de énfasis. Ya no es excusable ser el chivo expiatorio de los departamentos de ciberseguridad que carecen de recursos, o esperar, naturalmente, que los proveedores sean lo suficientemente seguros. La seguridad cibernética, incluida la evaluación del cumplimiento de la seguridad cibernética a lo largo de la cadena de suministro, debe ser parte integral de todas las empresas que operan en el mundo cada vez más en línea de hoy en día, y los proveedores deben cumplir con los requisitos mínimos de seguridad cibernética.
A medida que los ciberataques se vuelven más frecuentes y sofisticados, las empresas deben asegurarse de no quedarse atrás. Ahora más que nunca, las empresas deben aprovechar los prolíficos proyectos de intercambio de conocimientos dentro de la industria de la seguridad cibernética, como SASIG, para mantenerse actualizados y alertas a las últimas amenazas.
También es vital que la industria haga oír su voz mientras el gobierno considera su nueva estrategia de seguridad cibernética.