Las brechas cibernéticas causan estragos en las empresas. Pueden paralizar sus operaciones, vaciar sus arcas y minar la confianza de los clientes. A menudo, no se deben a vulnerabilidades informáticas en los propios sistemas informáticos de las víctimas, sino a vulnerabilidades existentes en sus cadenas de suministro digitales.
Un ejemplo reciente de esto es cuando Jaguar Land Rover (JLR) sufrió un ciberataque catastrófico que los expertos del Centro de Monitoreo Cibernético (CMC) estiman dealt Un golpe de 1.9 millones de libras para la economía británica en general. El fabricante de automóviles tuvo que detener la producción durante varias semanas, lo que frenó el crecimiento de la industria automotriz británica. Se cree que la naturaleza interconectada del sistema informático global de Jaguar Land Rover, su integración con las tecnologías operativas que impulsan las fábricas y su dependencia de los sistemas de la cadena de suministro permitieron a los hackers trabajar con rapidez, a la vez que dificultaron a sus equipos informáticos aislar el ataque.
Otros costosos ciberataques a la cadena de suministro afectaron a Marks & Spencer (M&S) y Co-op este año. M&S tomó una EUR 300 millones Golpe a sus ganancias, mientras que Co-op espera perder EUR 120 millones En las ganancias anuales. Ambos incidentes provocaron escasez de existencias en los minoristas, lo que pone de relieve la disrupción operativa que los ataques informáticos pueden causar en las empresas. Estos incidentes fueron causados por vulnerabilidades en un proveedor externo, explotadas mediante tácticas de ingeniería social.
Con una combinación de vulnerabilidades en la cadena de suministro y malas prácticas de gestión de TI que contribuyen a los ciberataques de JLR, M&S y Co-op, ¿qué pueden hacer de manera diferente las empresas para reforzar sus defensas cibernéticas y sus cadenas de suministro digitales?
Un efecto dominó
Hoy en día, las empresas modernas dependen en gran medida de un ecosistema de diversas plataformas, software, aplicaciones y tecnologías físicas, todas proporcionadas por diferentes proveedores, para mantenerse a flote. Y cuando los ciberdelincuentes vulneran una parte de este, las consecuencias son inimaginables y difíciles de contener.
“Una sola dependencia comprometida no solo provoca una interrupción técnica de un día”, afirma Tom Finch, líder de ingeniería de Chainguard, proveedor de software de seguridad para contenedores. “Desata una reacción en cadena de interrupciones operativas, ciclos de parches de emergencia, ansiedad de los clientes y auditorías regulatorias que tardan semanas, e incluso meses, en recuperarse”.
En cuanto se desencadena esta reacción en cadena, diferentes áreas de la empresa, todas conectadas por software, se ven rápidamente afectadas. Pete Hannah, vicepresidente para Europa Occidental del proveedor de almacenamiento de copias de seguridad Object First, explica que un solo proveedor comprometido puede generar un efecto dominó en toda la organización afectada, afectando negativamente sus operaciones, entrega, interacciones con los clientes y rendimiento financiero.
Hannah añade que incluso las interrupciones más pequeñas en la cadena de suministro pueden provocar retrasos en la producción, sanciones contractuales y pérdida de clientes. Y si bien la recuperación puede afectar gravemente las finanzas de una empresa, cree que la pérdida de confianza puede ser aún más duradera.
Cadenas de suministro digitales débiles
Los ataques a la cadena de suministro se han convertido en una fuente frecuente de disrupción en el panorama empresarial actual. Esto se debe a las vulnerabilidades estructurales que existen en las cadenas de suministro digitales, según Pierre Noel, CISO de campo para EMEA en Expel, proveedor de detección y respuesta gestionadas.
Aunque las empresas dependen cada vez más de sistemas y tecnologías interdependientes, Noel afirma que se ven debilitadas por las "posturas de seguridad desconocidas o poco validadas" que actualmente están presentes en toda la cadena de suministro digital. Añade que el resultado es una falta de visibilidad y rendición de cuentas, lo que significa que los ataques a la cadena de suministro suelen pasar desapercibidos durante largos periodos de tiempo, y nadie sabe con certeza cómo abordarlos ni quién es el responsable.
Finch, de Chainguard, comparte esta opinión al describir las cadenas de suministro de software como estructuralmente frágiles. Afirma que la interconexión del software moderno, compuesto por numerosos componentes diferentes, crea un punto ciego en materia de seguridad, creado y mantenido por miles de personas.
Además de una cadena de suministro de software débil y fragmentada, Hannah, de Object First, advierte que muchas organizaciones no verifican regularmente la seguridad de sus proveedores externos. Al mismo tiempo, afirma que los ciberdelincuentes explotan rutinariamente las actualizaciones de software, el acceso privilegiado, las credenciales de terceros y las desviaciones de configuración en su búsqueda de una vía de acceso a las cadenas de suministro y, por supuesto, a las empresas.
Le dice a IO: “A menos que las empresas evalúen y prueben continuamente la resiliencia de su cadena de suministro, en lugar de depender de controles periódicos de cumplimiento, los mismos patrones de disrupción continuarán”.
Una buena gestión de proveedores es esencial
Con las cadenas de suministro digitales más vulnerables que nunca, es urgente que las empresas mejoren sus prácticas de gestión de proveedores y clientes. Para Hannah, de Object First, esto significa ir más allá de los contratos con proveedores y prepararse de forma coordinada para los ataques a la cadena de suministro.
Para ello, afirma que las organizaciones deben colaborar estrechamente con sus proveedores en la creación y aplicación de planes de respuesta a incidentes. Al mismo tiempo, las funciones y responsabilidades deben estar claras para que la recuperación sea más rápida y se contengan las interrupciones.
Otro experto que ve el beneficio de una estrecha coordinación entre empresas y proveedores para mitigar los riesgos de seguridad en la cadena de suministro es Finch, de Chainguard. Afirma que cuando todas las partes interesadas de la cadena de suministro colaboran en las funciones de respuesta a incidentes y las vías de comunicación, las organizaciones pueden responder a los ataques con mayor rapidez y precisión. Añade: «En conjunto, estas prácticas reducen el alcance y la incertidumbre de los incidentes mucho antes de que se conviertan en problemas financieros o de reputación».
Sin embargo, las medidas de mitigación mediante una mejor coordinación con los proveedores no solo son importantes. Las empresas también deben prepararse para el peor resultado de los ciberataques, que suele ser la pérdida de confianza del cliente. Para Noel, de Expel, esto significa «una rendición de cuentas clara, una auditoría contractual para los proveedores de mayor riesgo, una comunicación transparente y una respuesta coordinada ante incidentes». Y añade: «Los clientes no esperan perfección; esperan rapidez, honestidad y competencia».
Otros cambios
Además de las prácticas saludables de gestión de proveedores y clientes, ¿se requieren otros cambios? Para Noel, de Expel, la respuesta es un sí rotundo: afirma que las organizaciones ya no deben considerar la seguridad de la cadena de suministro como un ejercicio puntual. Esto implica sustituir las soluciones reactivas por una gobernanza proactiva de riesgos, con los CISO trabajando en estrecha colaboración con los proveedores para fortalecer las cadenas de suministro digitales.
Finch, de Chainguard, coincide con Noel al afirmar que las organizaciones y los proveedores externos deben considerar la seguridad de la cadena de suministro como una responsabilidad empresarial compartida. Esto requiere que los líderes empresariales, los responsables de cumplimiento normativo y los tecnólogos derriben los silos existentes y trabajen en conjunto para que el software del futuro sea más rápido, inteligente y colaborativo que nunca.
Si bien tratar la seguridad de la cadena de suministro como una responsabilidad compartida es vital para mitigar y contener los ataques, Chris Binnie, consultor de seguridad nativo de la nube de Edimburgo, insta a los proveedores a asegurarse de poseer "mayor visibilidad de sus propias cadenas de suministro" antes de suministrar productos a clientes empresariales.
Para mitigar futuros ataques a la cadena de suministro, Diane Downie, arquitecta de software sénior de Black Duck, especialistas en seguridad de aplicaciones, afirma que las organizaciones deberían «establecer, seguir siempre y mejorar continuamente las mejores prácticas». Convertir el uso de la arquitectura de confianza cero en una buena práctica clave también puede ser útil, sugiere Hannah, de Object First, al limitar la distancia que un atacante puede recorrer dentro de un entorno.
Cabe señalar que los ataques a la cadena de suministro se han convertido en un gran problema tanto para las empresas como para sus proveedores. Sin embargo, no tienen por qué ser tan difíciles de mitigar, detectar y contener; las empresas y los proveedores simplemente deben realizar un esfuerzo conjunto para abordar la seguridad de la cadena de suministro como una responsabilidad compartida y continua. En la práctica, esto implica contar con planes, procesos y responsabilidades claros para mantener a raya a los atacantes.
Por supuesto, incluso con las mejores medidas de seguridad implementadas, seguirá habiendo casos en los que los atacantes logren vulnerar las cadenas de suministro. Aquí es donde la respuesta coordinada a incidentes es esencial. Y, por supuesto, las empresas y sus socios deben ser transparentes con los clientes sobre lo sucedido para mantenerlos informados.
