Las cadenas de suministro actuales podrían compararse con la antigua ruta de la seda sobre la base de la longitud de la cadena, los múltiples puntos de contacto y la variedad de productos. Pero donde la ruta de la seda se convirtió en el elemento vital de las civilizaciones antiguas por estas razones, la complejidad de las cadenas de suministro modernas podría ser su ruina, poniendo en peligro la funcionalidad y, en consecuencia, la reputación de las organizaciones.
Hoy en día, el software de cumplimiento, los proveedores de servicios de TI y la subcontratación de procesos comerciales (BPO) son solo algunos ejemplos de cadenas de suministro que aún dependen de sistemas de TI interconectados con diversos grados de acceso a varias partes del estado de TI para procesar, compartir y almacenar datos.
La pandemia también ha llevado a las organizaciones a acelerar sus planes digitales y llegar a su base de clientes en este nuevo mundo para comerciar y seguir siendo competitivas.
Sin embargo, el consiguiente aumento del riesgo cibernético hace que este sea un camino complicado de recorrer, lo que genera una mayor regulación, interrupciones, multas cada vez mayores y los altos costos de resolver un problema internamente, en un caso, tocar $ 100 millones para contener y corregir la violación de datos.
El eslabón débil de su empresa puede estar en los proveedores y socios.
Los ejemplos recientes y bien versados dentro de los sectores de fabricación, servicios financieros y transporte se han visto gravemente afectados por los riesgos de seguridad que emanan de sus cadenas de suministro, lo que ha provocado una enorme alteración material. Esto no se limita a un sector industrial en particular, sino que es un problema generalizado que debemos abordar.
Un ataque a la cadena de suministro ocurre cuando alguien se infiltra en su sistema a través de un socio o proveedor externo con acceso a su red, sistemas y, en última instancia, datos.
Esto ha cambiado drásticamente la superficie de ataque de la empresa típica en los últimos años, con más proveedores y proveedores de servicios que tocan datos sensibles que nunca, expandiendo y difuminando los límites de la empresa. Para las organizaciones con miles de proveedores críticos, esto se convierte en una tarea muy desafiante, independientemente de la industria.
El efecto de torta de capas
El ataque a SolarWinds hizo que la industria se sentara y reconsiderara el enfoque para administrar el riesgo no solo en su propio panorama de TI, sino también en los proveedores y subproveedores que están conectados a ellos. Los reguladores están tratando de lidiar con esto con una legislación renovada, pero con la creciente conciencia pública y los nuevos tipos de ataques, es más un desafío que nunca.
Según un informe de la New York Times, los ataques de SolarWinds penetraron en muchas más que “unas pocas docenas” de redes gubernamentales y empresariales, como se pensó inicialmente. Hasta 250 organizaciones se han visto afectadas y los atacantes se aprovecharon de múltiples capas de la cadena de suministro.
Debemos considerar el ‘sistema’ completo de extremo a extremo y evaluar los riesgos que pueden afectar las operaciones, los datos y los clientes para minimizar el impacto real, negativo y material que puede tener. Los límites de la gestión de riesgos de seguridad de la información son fluidos, impulsados por las necesidades comerciales, incluido el impacto geográfico. ‘¿Quién’ se está conectando con ‘qué?’
Un informe reciente, Riesgo de datos en el ecosistema de terceros, compilado por The Ponemon Institutey encargado por Opus, afirma que el 60% de las filtraciones de datos se han originado dentro de la cadena de suministro, por lo que las debilidades en su panorama de control sustentan sus propias operaciones. El tiempo para informar las infracciones a las autoridades reguladoras es más corto, lo que resulta en un ciberataque que tiene un mayor impacto en la erosión de la valoración del mercado, la reputación de la marca y la confianza del consumidor.
Entonces, ¿qué puede hacerse? Hay algunas preguntas clave, que se describen a continuación, que los líderes deberían preguntar a sus organizaciones y a sus proveedores sobre cómo obtener seguridad sobre la idoneidad de las medidas de control implementadas.
Mapeo del sistema
Las preguntas clave incluyen: ¿Quién tiene conectividad en nuestros sistemas? Sus sistemas son diferentes, entonces, ¿cómo lo gestionamos? ¿Cuál es su política de seguridad y se cumple? Parece que su red no funciona, entonces, ¿qué significa eso para nosotros? ¿Qué legislación local de protección de datos se les aplica? ¿Comprendemos nuestras obligaciones regulatorias para con nuestros clientes? ¿Y entendemos el flujo de datos entre nosotros y nuestros proveedores?
En primer lugar, debe comprender qué procesos llevan a cabo los socios de la cadena de suministro en su nombre. Esto significa comprender las aplicaciones, los medios de acceso, los datos procesados (mapeo del flujo de datos – ‘conocer’ sus datos), las ubicaciones físicas (que podrían estar bajo diferentes regulaciones y leyes locales); y sin olvidar comercialmente lo que están obligados a hacer para gestionar su sistema.
Esto ayudará a aclarar dónde el límite se encuentra y qué necesita evaluar y monitorear.
Analizar
Las preguntas clave incluyen: ¿Sabemos qué buscar? ¿Dónde están nuestros datos? ¿Quién tiene acceso? ¿Quién debería tener acceso? ¿Cómo acceden a él? ¿Tenemos entornos / métodos / medios seguros para compartir archivos / datos?
Es importante evaluar las posibles fuentes de amenazas y los riesgos inherentes a lo largo de la cadena de suministro, aprovechando las buenas prácticas de la industria. Observe de cerca las rutas de ataque que podrían tomarse para socavar sus operaciones. La cadena de suministro / organizaciones asociadas deben estar obligadas a gestionar el manejo de sus datos de acuerdo con cualquier estándar de buenas prácticas acordadas.
Buscamos conocer la visión de las personas, los procesos y la tecnología con respecto al riesgo, y comprender la importancia relativa de cualquier riesgo identificado. Técnicas como los juegos de guerra comerciales pueden ayudar a articular esos riesgos en un panorama de TI altamente complejo.
Remediación
Las preguntas clave incluyen: ¿Cómo colaboramos de forma segura? ¿Qué soluciones pragmáticas podemos considerar? ¿Cómo podemos crecer en este entorno? ¿Qué tecnologías podemos aprovechar? ¿Cómo obtenemos una visión de nuestro límite organizacional cada vez más extenso? ¿Cómo gestionamos el procesamiento y almacenamiento de nuestros datos en dominios interconectados? ¿Cómo generamos confianza y lealtad con nuestros clientes? ¿Y cómo maduramos nuestra resiliencia operativa?
Iniciar actividades para abordar áreas de niveles inaceptables de riesgo. Pueden ser desde obligaciones comerciales entre el proveedor y usted; construir un entendimiento mutuo del apetito por el riesgo (valores afines, creencias, preocupaciones, controles como usted) creando un enfoque conjunto para la gestión de riesgos; actualizar la política y el proceso (incluido el cambio y cómo se prueba y se introduce en la producción en vivo); para abordar los agujeros técnicos (puertas traseras en las redes) en todo el ecosistema que podrían proporcionar una entrada para un atacante.
En términos más generales, establecer la cultura adecuada para aceptar la necesidad de gestionar los riesgos de la cadena de suministro también cambiará la mentalidad de ir más allá de su propia preparación a la de sus terceros.
Monitoreo continuo
Las preguntas clave incluyen: ¿Cómo podemos aprovechar la tecnología e impulsar la eficiencia para gestionar el riesgo cibernético en una cadena de suministro grande y compleja? ¿Cómo podemos utilizar esto para demostrar nuestra capacidad para gestionar el riesgo ante los reguladores y nuestros clientes? ¿Y cómo obtenemos una vista en tiempo real del riesgo en todo nuestro sistema?
El paso final es incorporar el concepto de “monitoreo continuo”. Esto puede ser parte de sus procesos más amplios de cumplimiento y riesgo de gobernanza empresarial para administrar el riesgo. Para impulsar la eficiencia en esto, ahora buscamos aprovechar la tecnología.
Según Gartner: “El seguimiento continuo de los controles [CCM] es un conjunto de tecnologías para reducir las pérdidas comerciales a través del monitoreo continuo y la reducción del costo de las auditorías mediante la auditoría continua de los controles en aplicaciones financieras y otras aplicaciones transaccionales ”.
Los avances en inteligencia artificial (IA) también están ayudando a incorporar la predicción y nos dan la capacidad de racionalizar mejor y tomar las medidas adecuadas en relación con el riesgo. Las organizaciones ahora pueden adoptar esta tecnología como una solución empresarial para monitorear sistemas y datos clave para proteger las operaciones comerciales, los ingresos, la reputación y las ganancias del riesgo cibernético y digital las 24 horas del día, los 7 días de la semana.
Hay muchas herramientas disponibles que le permiten monitorear a un nivel de proceso y control técnico, incluidas las políticas de monitoreo a través de recopiladores implementados cerca de fuentes de datos en máquinas específicas dentro del estado de su proveedor que brindan informes en tiempo real para ayudar a identificar riesgos potenciales para sus operaciones diarias.
Para concluir
Este artículo ha abordado ejemplos bien versados que destacan el riesgo de multas relacionadas con los datos, el daño a la reputación y el impacto del valor de mercado, y el costo de implementar un enfoque de monitoreo de control continuo es una inversión relativamente pequeña en comparación.
Es fundamental que los proveedores de sus operaciones acepten esta visión ampliada de la gestión de riesgos para ayudar a todas las partes involucradas a proteger al cliente final y sus datos. Esto puede verse simplemente como la superposición de procesos de gestión de riesgos entre una empresa y otra para hacer uso de medidas cibernéticas proactivas.
El aumento de la regulación en este espacio nos está obligando a abordar esto ahora. La adopción de técnicas de automatización avanzadas como parte de las cadenas de suministro inteligentes requiere que consideremos el riesgo cibernético junto con los desarrollos en este espacio.
Afortunadamente, la tecnología nos permite afinar el límite que alguna vez fue difuso y brindar seguridad a la administración, las partes interesadas y los clientes de que podemos tomar medidas razonables para mantener el ritmo del cambio y administrar el riesgo en un mundo conectado.
Carl Nightingale es un experto en seguridad cibernética y confianza digital en PA Consulting.