Agencias cibernéticas internacionales publican directrices sobre la cadena de suministro tras el reciente aumento de los ataques cibernéticos

El mes pasado, como parte de un aviso conjunto, los órganos rectores de seguridad cibernética de EE. UU., Reino Unido, Australia, Canadá y Nueva Zelanda emitieron Guía oficial de seguridad cibernética de la cadena de suministro. para ayudar a las organizaciones a mantener su información y datos seguros.   

La nueva guía, centrada en apoyar a las empresas medianas y grandes y a aquellas dentro de las organizaciones responsables de la gestión de riesgos, información y seguridad cibernética, ayudará a establecer o mejorar enfoques organizacionales para evaluar los riesgos de seguridad cibernética de la cadena de suministro. 

¿Por qué las agencias cibernéticas se centran en la seguridad de la cadena de suministro?

Los compromisos en la cadena de suministro han aparecido en los titulares en volúmenes sin precedentes. El ataque de SolarWinds en 2020 aparentemente abrió las compuertas y las brechas no dejarán de ocurrir.  

Sólo en el último mes, MediBank en Australia vio más de 4 millones de registros de pacientes comprometidos y filtrados en línea. Supeo, proveedor de DSB, la red ferroviaria más grande de Dinamarca, sufrió una brecha que impidió físicamente que los trenes circularan durante más de dos horas. Y Chase UK sufrió un ataque que impidió a sus clientes acceder a su aplicación bancaria durante casi dos días.  

A medida que las organizaciones dependen de un número cada vez mayor de proveedores para entregar productos, sistemas y servicios, el riesgo de que se introduzcan o exploten vulnerabilidades a través de estos proveedores aumenta significativamente. Esta creciente complejidad dificulta que las empresas sepan qué tan segura es su cadena de suministro y si cuentan con suficientes protecciones.  

En última instancia, estos ciberataques pueden tener un impacto devastador en las empresas, con ramificaciones costosas y de largo plazo para las organizaciones afectadas, sus proveedores críticos y sus clientes.  

¿Por qué es tan difícil para las empresas abordar la seguridad de la cadena de suministro?   

A pesar de los riesgos bien documentados, muchas empresas todavía pierden de vista sus cadenas de suministro. De hecho, según el Encuesta sobre violaciones de seguridad de 2022, “poco más de una de cada diez empresas revisa los riesgos que plantean sus proveedores inmediatos (13%), y la proporción correspondiente a la cadena de suministro en general es la mitad de esa cifra (7%)”. 

Los riesgos cibernéticos asociados con un ataque a la cadena de suministro nunca han sido tan altos; Los atacantes están desarrollando métodos y herramientas de ataque a un ritmo cada vez más alarmante. Sin embargo, a pesar de la creciente conciencia pública sobre las amenazas y la mayor supervisión regulatoria, las empresas no siguen el ritmo.  

Según el Centro Nacional de Seguridad Cibernética (NCSC), si bien muchas organizaciones entienden que su cadena de suministro debería ser motivo de preocupación, sigue existiendo:  

• falta de inversión para protegerse contra este riesgo cibernético 
• Visibilidad limitada de las cadenas de suministro. 

• Herramientas y experiencia insuficientes para evaluar la seguridad cibernética de los proveedores. 
• falta de claridad sobre lo que debería pedirles a sus proveedores que hagan

Estos problemas dejan las cadenas de suministro expuestas y en riesgo de explotación por parte de ciberdelincuentes.   

Pasos prácticos para que las organizaciones aseguren su cadena de suministro 

La guía publicada por los organismos de cibergobierno divide el mejor enfoque en cinco pasos clave: 

1. Comprenda por qué su organización debería preocuparse por la seguridad de la cadena de suministro 

 Las organizaciones deben comprender qué necesita protección dentro de su ecosistema y por qué es necesario protegerlo para establecer un control significativo sobre la cadena de suministro.  

En última instancia, una ciberseguridad eficaz debe ser adecuada para sus sistemas, sus procesos, su personal, su cultura y el nivel de riesgo que está dispuesto a asumir.   

2. Desarrollar un enfoque para evaluar la seguridad de la cadena de suministro 

 Determine los aspectos críticos de su organización que necesita proteger más (sus 'joyas de la corona'), teniendo en cuenta las amenazas potenciales, las vulnerabilidades, el impacto y el apetito de riesgo de su organización.  

Utilizando los aspectos clave identificados de su organización, cree una serie de perfiles de seguridad de proveedores escalonados. Cada perfil debe representar una escala de impacto cada vez mayor y luego asignarlos a cada uno de sus proveedores.  

3. Aplicar el enfoque a las conversaciones con nuevos proveedores 

Incorpore nuevas prácticas de seguridad a lo largo del ciclo de vida del contrato de nuevos proveedores, desde la adquisición y selección de proveedores hasta el cierre del contrato.   

Este proceso también debería comenzar a impulsar una mayor conciencia de seguridad entre su personal y crear una cultura de monitoreo continuo del cumplimiento de la gestión de la información y la seguridad.  

4. Integrar el enfoque en los acuerdos con proveedores existentes

Con un nuevo enfoque acordado, revise sus contratos existentes al renovarlos o antes en lo que respecta a proveedores críticos. 

5. Mejorar continuamente

Refinar periódicamente su enfoque a medida que surgen nuevos problemas reducirá la probabilidad de que los riesgos afecten a su organización a través de la cadena de suministro.  

Cómo ISO 27001 puede permitir la seguridad sostenible de la cadena de suministro  

ISO 27001 es un estándar reconocido internacionalmente para la gestión de la información, pero en realidad se trata de Gestión sistemática del riesgo, . Y esto es a lo que siguen recurriendo las directrices publicadas por NCSC, CISA, FBI, ACSC, CCCS y NZ NCSC, razón por la cual trabajar dentro del marco de ISO 27001 impulsará comportamientos y beneficios de seguridad para cualquier empresa que busque mejorar su resiliencia cibernética. y diferenciarse de sus competidores.  

ISO 27001 aconseja a las empresas tener un Proceso sencillo implementado para la incorporación y gestión de proveedores.. En particular, concéntrese en lo siguiente:  

• Acuerdo políticas de seguridad de la información, procedimientos y controles al día 
• Mantener críticos afectados información de negocios, sistemas y procesos 
• Asegurarse de reevaluar cualquier riesgo identificado y verificar que los proveedores cumplan con los requisitos de seguridad continuos.  

Puede parecer un consejo esencial y de sentido común, pero puede ahorrarles a las organizaciones tiempo, dinero, daños a su reputación y frustración si se implementan correctamente. Además, lograr el cumplimiento del marco ISO 27001 puede ofrecer una importante ventaja empresarial al demostrar sus credenciales de seguridad certificadas a clientes actuales y futuros. 

Fortalezca la seguridad de su cadena de suministro hoy  

Si está buscando comenzar su viaje hacia una mejor seguridad de la cadena de suministro, podemos ayudarlo.   

Nuestra solución ISMS permite un enfoque simple, seguro y sostenible para la gestión de la información con ISO 27001, NIST y otros marcos. Ofrece módulos de seguridad de la cadena de suministro que se pueden adoptar, adaptar y agregar rápidamente con el tiempo para lograr una ciberseguridad exitosa y una mejor adopción de comportamientos seguros dentro de su organización. Libere su ventaja competitiva hoy.  

Agenda una Demostración