Ahora todo en el mundo está más interconectado que nunca, y las tecnologías digitales y en la nube permiten que las empresas de diferentes países prosperen y logren el éxito. Sin embargo, esta interconexión conlleva un riesgo mayor: los socios, proveedores y terceros pueden revelar información confidencial de la empresa, y los piratas informáticos pueden atacar a las organizaciones a través de su cadena de suministro. La gestión del riesgo de ataques a la cadena de suministro se está convirtiendo en un componente fundamental de la estrategia de ciberseguridad de cualquier empresa.
En este artículo, veremos las amenazas de ataques en la cadena de suministro, cómo proteger y minimizar el riesgo de consecuencias para las organizaciones de un ataque a la cadena de suministro.
Existen riesgos generales que debe tener en cuenta si una empresa depende de muchos socios en la cadena de suministro, pero nos centraremos solo en los ataques activos, como sucedió con SolarWinds Corporation y sus clientes, algunas de las empresas más grandes del mundo.
El ataque SolarWinds ha sido una llamada de atención para muchas organizaciones. Un grupo de piratas informáticos se infiltró con éxito en SolarWinds, que proporcionó servicios de infraestructura a más del 80% de las empresas Fortune 500, agencias del gobierno federal y cientos de organizaciones educativas gubernamentales.
Los atacantes se escondieron en las redes de las organizaciones, evitando eficazmente la detección y participando en el robo de información. Esto muestra cómo los terceros críticos para la organización pueden convertirse en una vulnerabilidad incluso en empresas globales exitosas. Ahora más que nunca, es imperativo que la cadena de suministro se incorpore a una estrategia de gestión de riesgos.
Riesgos de la cadena de suministro
La gestión de riesgos de la cadena de suministro consiste en garantizar que sus proveedores no lo expongan a ningún riesgo, así como contrarrestar las posibles amenazas que podrían surgir si los sistemas de los proveedores son atacados, comprometidos o expuestos a otra amenaza o incidente.
Existen muchas amenazas para la cadena de suministro, y saber cuáles son para garantizar la protección y la mitigación adecuadas en el peor de los casos.
Riesgos del proveedor de nube
La llegada del almacenamiento en la nube ha brindado a las empresas la capacidad de utilizar servicios en la nube de terceros para administrar muchos procesos comerciales, tanto críticos como no críticos. Se trata, por ejemplo, de sistemas de gestión de contenidos y redes sociales, bases de datos de alojamiento y servicios.
Los atacantes pueden atacar a proveedores críticos sabiendo que obtendrán acceso a los datos y / o sistemas de una gran cantidad de empresas. Sin embargo, un pirata informático puede atacar a proveedores menos importantes con la expectativa de que sus herramientas de seguridad serán más vulnerables y, posteriormente, podrá acceder a sus datos.
Riesgos de código abierto
Los proveedores de software utilizan software de código abierto para proporcionar sus servicios, lo que genera ciertos riesgos. El código fuente abierto de dichos programas está disponible públicamente, por lo que cualquiera puede usarlos a bajo costo, mientras tiene la capacidad de cambiar el código fuente.
Si bien esto suele ser una ventaja que aumenta la flexibilidad y mejora la calidad del servicio con una baja inversión, el código abierto también permite a los atacantes verlo y encontrar vulnerabilidades que podrían explotarse para comprometer.
Riesgos de hardware (puerta trasera)
No todos los riesgos son digitales. Sus cámaras de seguridad, impresoras o dispositivos inalámbricos (como módems y enrutadores) también representan un riesgo. El hardware casi siempre viene con un componente digital o inalámbrico, extendiendo la superficie de ataque a la organización.
Surgen múltiples vulnerabilidades si estos dispositivos de hardware tienen contraseñas integradas, seguridad mínima o si se utilizan contraseñas predeterminadas. Un pirata informático que quiera apoderarse de datos confidenciales o invadir su red a través de estos dispositivos puede ingresar fácilmente al sistema.
Cómo las organizaciones pueden reducir los riesgos de la cadena de suministro
Comprender los riesgos de un ataque a su cadena de suministro es solo el primer paso. La gestión eficaz del riesgo de un ataque a la cadena de suministro requiere un enfoque holístico e integrado , teniendo en cuenta factores internos y externos.
Monitorea tus amenazas
Los piratas informáticos se dirigen a empresas para robar sus direcciones IP; atacan a organizaciones que cooperan con el gobierno o irrumpen en los sistemas de seguridad, cerrando la red o descargando información hasta que se encuentran. Los atacantes pueden aprovechar las vulnerabilidades o los factores de riesgo anteriores para atacar a los socios de las empresas.
Comprender el perfil de riesgo de la cadena de suministro
Si los sistemas de un proveedor como WhatsApp se ven comprometidos, afectará la comunicación de los empleados de su organización, pero aún podrá utilizar otras formas de comunicación. Sus servicios comerciales no se verán afectados.
Sin embargo, si la plataforma de su proveedor en la nube se ve comprometida, podría afectar el funcionamiento de su sitio web, la privacidad de sus datos y la de sus clientes, lo que afectaría gravemente a la calidad del servicio.
Estrategias exitosas de gestión de riesgos de ataques a la cadena de suministro
Gestionar el riesgo de atacar una cadena de suministro puede ser un desafío, especialmente si se compara con proteger sus propios sistemas y entornos internos. Es un proceso continuo que debe ser parte integral de su estrategia general de gestión de riesgos y ciberseguridad. A continuación, se muestran algunas pautas tácticas para protegerse contra los ataques a la cadena de suministro.
Comprender el ecosistema de la cadena de suministro
La falta de transparencia en la cadena de suministro dificulta mucho la gestión de riesgos. El departamento de seguridad de la información necesita obtener una lista completa de proveedores, terceros y socios de todos los departamentos de la empresa. Luego, identifique aquellos proveedores y socios que ponen a la empresa en mayor riesgo. ¿Un posible ataque contra ellos afectará la capacidad de la organización para llevar a cabo su actividad principal o atender a los clientes? ¿Hackear sus sistemas provocará violaciones de datos y una amenaza para la seguridad de la red?
Comprender la importancia de estos proveedores lo ayudará a preparar el plan de respuesta a incidentes adecuado.
Limitar el acceso a la red y la integración en su cadena de suministro
Muchos piratas informáticos y atacantes están tratando activamente de penetrar en los sistemas de las organizaciones a través de terceros, con la esperanza de evadir la detección y aprovechar su débil seguridad. Sin embargo, si utiliza la segmentación de la red, restringiendo el acceso a la red de terceros y asegurándose de que funcionen solo con los datos necesarios, puede reducir significativamente el daño de posibles ataques de intrusos.
Monitoreo de la red para detectar actividad sospechosa
No hay forma de evitar el acceso a la red a lo largo de la cadena de suministro, por lo tanto, use herramientas de seguimiento y monitoreo automatizadas. Si uno de los proveedores de la cadena de suministro se comporta fuera de la caja y posiblemente está tratando de obtener acceso a datos confidenciales (a los que no debería poder acceder) o elementos de la red, esto podría indicar un pirateo.
Elaborar un plan de respuesta a incidentes para los proveedores más importantes de la cadena de suministro.
Para los proveedores de servicios y los socios de la cadena de suministro que son fundamentales para el negocio, el peor de los casos debe planificarse y prepararse con un plan de respuesta a incidentes . Imagine el peor de los casos en el que un proveedor crítico se vuelve inoperante. ¿Existe un proveedor alternativo o su propia solución? ¿Qué tan rápido puede volver al trabajo normal sin más daños?
Al planificar tales escenarios, la prioridad es volver a la normalidad lo antes posible, minimizar la fuga de datos y desarrollar una estrategia de comunicación en caso de que se publique un incidente. Esto asegura que pueda realizar su negocio sin poner en riesgo sus propios sistemas o red mientras mantiene su reputación.
Resumiendo
Idealmente, la gestión de riesgos de la cadena de suministro debe considerarse de manera integral y como parte de un marco general de gestión de riesgos. Esto le permitirá gestionar el riesgo dentro y fuera de la empresa y le dará al departamento de seguridad de la información la mejor manera de lidiar con los riesgos a medida que la empresa crece y atrae nuevos proveedores.