A finales de 2022, se nos pidió que enumerásemos los Principales tendencias cibernéticas que esperábamos ver dominando los titulares en 2023., y señalamos la cadena de suministro. Y, vaya, ¡teníamos razón! En los últimos tres meses la seguridad de la cadena de suministro ha sido el centro de atención y por razones equivocadas.

En marzo, el gigante de la subcontratación de TI Capita sufrió una vulneración de ransomware, lo que afectó a muchos clientes gubernamentales y del sector privado, incluidos Royal Mail, Axa y USS, uno de los fondos de pensiones más grandes del Reino Unido. Mientras que el El viceprimer ministro del Reino Unido, Oliver Dowden, advirtió sobre el riesgo para las cadenas de suministro de infraestructuras nacionales críticas y emitió una advertencia formal a las empresas sobre ataques entrantes de actores impredecibles.

Más recientemente, marcas de renombre, incluidas BA, Boots y la BBC, se vieron sorprendidas por una violación de datos personales y financieros que afectó a su personal y a sus clientes. ¿El culpable? Un error en una herramienta de transferencia de archivos llamada MOVEit, que utilizaba su proveedor de nómina, Zellis.

Los desafíos que enfrenta la seguridad de la cadena de suministro

Entonces, ¿por qué parece tan difícil para las organizaciones controlar la seguridad de la cadena de suministro? Uno de los desafíos críticos es la creciente complejidad e interdependencia de las cadenas de suministro globales. Las organizaciones a menudo tienen visibilidad y control limitados sobre su red extendida, lo que dificulta garantizar la seguridad de los datos y sistemas más allá de su alcance inmediato.

Además, la seguridad de la información de la cadena de suministro enfrenta vulnerabilidades como prácticas de seguridad inadecuadas por parte de los proveedores, mecanismos de autenticación débiles, software obsoleto e incluso posibles interrupciones en la cadena de suministro causadas por desastres naturales o eventos geopolíticos.

El impacto de una violación de la cadena de suministro puede ser grave y de gran alcance. No sólo puede provocar pérdidas financieras, daños a la reputación y consecuencias legales, sino que también puede alterar las operaciones y comprometer la confianza de los clientes y partes interesadas. La naturaleza interconectada de las cadenas de suministro significa que una brecha en una organización puede tener efectos en cascada en múltiples entidades dentro de la cadena, amplificando el daño potencial.

Lo que nos dice el informe sobre el estado de la seguridad de la información sobre la seguridad de la cadena de suministro

A pesar de los riesgos bien documentados y la creciente cantidad de titulares, muchas empresas todavía pierden de vista sus cadenas de suministro. De hecho, según nuestra Informe sobre el estado de la seguridad de la información 2023, solo el 30% de las organizaciones creía que estaban teniendo dificultades con la gestión de su cadena de suministro, sin embargo, más del 57% admitió haber experimentado al menos un incidente cibernético como resultado de un compromiso de la cadena de suministro en los últimos 12 meses y muchos admitieron haber sufrido más de un incidente.

¿De dónde viene esta desconexión? El El NCSC realizó recientemente algunas investigaciones propias y encontró que “poco más de una de cada diez empresas revisa los riesgos que plantean sus proveedores inmediatos (13%), y la proporción para la cadena de suministro más amplia es la mitad de esa cifra (7%)”.

Entonces, si bien muchas organizaciones entienden que su cadena de suministro debería ser motivo de preocupación, sigue existiendo:

  • falta de inversión para protegerse contra este riesgo cibernético
  • Visibilidad limitada de las cadenas de suministro.
  • Herramientas y experiencia insuficientes para evaluar la seguridad cibernética de los proveedores.

falta de claridad sobre lo que debería pedirles a sus proveedores que hagan

Estos problemas dejan las cadenas de suministro expuestas y en riesgo de explotación por parte de ciberdelincuentes.

Desafíos regulatorios y seguridad de la cadena de suministro

En los últimos 12 meses, casi dos tercios (60%) de las empresas del Reino Unido han recibido una multa debido a violaciones de datos o violaciones regulatorias. El total medio pagado en multas fue de casi 250,000 libras esterlinas.

Las multas más comunes por violaciones de datos oscilaron entre £50,000 y £100,000 (21%), seguidas de £100,000 a £250,000 (17.5%). Casi el 21% de los encuestados recibieron multas superiores a £250,000, y poco menos de la mitad admitió haber recibido una multa que oscilaba entre £500,000 y la asombrosa cifra de £1,000,000.

De estas multas, un alarmante 42 % se debió directa o indirectamente a una violación de datos o un incidente que incluyó un aspecto de compromiso de la cadena de suministro o de un proveedor externo. Resalte cuán integral es la gestión de proveedores para la seguridad de la información y el cumplimiento normativo de una organización.

Tendencias clave que afectan la seguridad de la cadena de suministro

Una de las principales conclusiones del Informe sobre el estado de la seguridad de la información es la creciente sofisticación de los ciberataques dirigidos a las cadenas de suministro. Los ciberdelincuentes están empleando amenazas persistentes avanzadas (APT), que son ataques sigilosos y altamente dirigidos destinados a comprometer la integridad de la cadena de suministro. Estos ataques pueden pasar desapercibidos durante períodos prolongados, lo que permite a los actores de amenazas obtener acceso no autorizado a datos confidenciales o incluso manipular o tomar el control de sistemas críticos.

Una vez en el sistema, los atacantes a menudo exigen un rescate por el acceso a estos sistemas críticos o amenazan con revelar datos confidenciales a menos que se les pague. Casi el 25% de las organizaciones en nuestra encuesta habían sido extorsionadas en los últimos 12 meses, y otro 25% también experimentó intrusiones en la red durante el mismo período.

Además, el informe arroja luz sobre la creciente prevalencia de ataques que comprometen la cadena de suministro: el 19% de los encuestados afirmaron haber sido afectados de esta manera en los últimos 12 meses. En estos escenarios, los atacantes aprovechan las vulnerabilidades en uno o más componentes de la cadena de suministro para infiltrarse en todo el ecosistema.

Por ejemplo, al comprometer la red o los sistemas de un proveedor, los atacantes pueden obtener acceso no autorizado a socios intermedios, lo que genera un efecto dominó de violaciones de seguridad. Esto subraya la interconexión e interdependencia de la seguridad de la cadena de suministro, lo que hace que sea crucial para las organizaciones evaluar y mitigar los riesgos no solo dentro de sus sistemas sino también en toda su red de cadena de suministro.

Otra tendencia preocupante identificada en el informe es el aumento de los ataques de phishing a la cadena de suministro. Los ciberdelincuentes emplean técnicas de ingeniería social para engañar a las personas dentro de la cadena de suministro, engañarlas para que divulguen información confidencial o descarguen software malicioso sin darse cuenta.

Estos ataques de phishing pueden ser persuasivos y a menudo se hacen pasar por proveedores, vendedores o partes interesadas internas de confianza. Por lo tanto, quizás no sea sorprendente que el 28% de los encuestados afirmaran que habían sido atacados como resultado de un ataque de phishing dirigido a sus empleados en los últimos 12 meses. Las organizaciones deben educar a sus empleados sobre estas amenazas e implementar sólidas medidas de seguridad del correo electrónico para combatir estos intentos de phishing cada vez más sofisticados.

Vulnerabilidades comunes de la cadena de suministro y vectores de ataque

El Informe sobre el estado de la seguridad de la información de ISMS.online también revela varias vulnerabilidades comunes y vectores de ataque que los actores de amenazas aprovechan para comprometer la seguridad de los proveedores.

Una vulnerabilidad prevalente son los débiles controles de proveedores. Es posible que muchos proveedores no cuenten con medidas de seguridad sólidas, lo que los convierte en un blanco fácil para los ciberataques. Estas vulnerabilidades podrían incluir software desactualizado, administración inadecuada de parches o controles de acceso poco estrictos. Los atacantes aprovechan estas debilidades para obtener acceso no autorizado a información confidencial o introducir códigos maliciosos en el ecosistema de la cadena de suministro.

Otra vulnerabilidad surge de la falta de diligencia debida durante la incorporación de proveedores. Las organizaciones a menudo pasan por alto la importancia de examinar minuciosamente las prácticas de seguridad de sus proveedores antes de entablar relaciones comerciales. Esta supervisión crea una brecha potencial en las defensas de la cadena de suministro, permitiendo a los atacantes explotar el eslabón más débil. Por ejemplo, un proveedor con medidas de seguridad insuficientes puede exponer sin darse cuenta a toda la cadena de suministro a riesgos importantes.

La insuficiente concienciación y capacitación en materia de seguridad en toda la cadena de suministro es otra vulnerabilidad que aprovechan los atacantes. Es posible que los empleados de distintos niveles dentro de la cadena de suministro no tengan el conocimiento adecuado sobre las mejores prácticas de ciberseguridad o las posibles amenazas a las que se enfrentan. Esta brecha de conocimiento los deja susceptibles a ataques de ingeniería social, intentos de phishing o introducción inadvertida de malware en el sistema.

De hecho, menos de la mitad de las organizaciones encuestadas habían brindado capacitación regular sobre seguridad de la información o concientización de datos durante los últimos 12 meses (47%), lo que sugiere que el 53% de las organizaciones aún no habían brindado capacitación regular de concientización al personal. Las organizaciones deben priorizar la capacitación en concientización sobre seguridad y establecer una cultura de vigilancia en toda la cadena de suministro.

El informe también enfatiza los riesgos asociados con los componentes de software y hardware de terceros. La integración de estos componentes en la cadena de suministro introduce un nivel de dependencia de entidades externas, lo que aumenta la superficie de ataque y las vulnerabilidades potenciales. Los actores malintencionados pueden comprometer estos componentes, lo que provoca interrupciones en la cadena de suministro, filtraciones de datos o la introducción de software o hardware comprometido.

Además, las amenazas internas dentro de la cadena de suministro suponen un riesgo importante. Las amenazas internas pueden ocurrir cuando personas con acceso autorizado al ecosistema de la cadena de suministro hacen mal uso de sus privilegios o participan conscientemente en actividades maliciosas. Podría tratarse de un empleado descontento, un contratista con acceso no autorizado o un interno comprometido. Más del 20% de los encuestados había experimentado un incidente como resultado de una amenaza interna en los últimos 12 meses. Estas amenazas pueden tener consecuencias graves, incluidas violaciones de datos, robo de propiedad intelectual o sabotaje.

Comprender estas vulnerabilidades es crucial para que las organizaciones desarrollen estrategias específicas de mitigación de riesgos. Las organizaciones pueden mejorar significativamente la seguridad de la información de su cadena de suministro identificando y abordando controles débiles de proveedores, implementando estrictos procesos de diligencia debida, fomentando programas de capacitación y concientización sobre seguridad y administrando de cerca los componentes de software y hardware de terceros.

Navegando por las complejidades de la seguridad de la información de la cadena de suministro

La creciente dependencia de las relaciones con terceros y el panorama de amenazas en evolución requieren un enfoque integral para mitigar los riesgos y proteger los datos confidenciales. Exploremos algunas áreas clave a considerar al explorar las complejidades de la seguridad de la información de la cadena de suministro.

Estrategias de evaluación y mitigación de riesgos:

Una evaluación de riesgos exhaustiva es la base de una seguridad de la información de la cadena de suministro eficaz. Implica identificar y evaluar posibles vulnerabilidades y amenazas dentro del ecosistema de la cadena de suministro. Las organizaciones pueden priorizar los riesgos, asignar recursos de manera efectiva e implementar estrategias de mitigación específicas mediante la realización de evaluaciones periódicas. Estas estrategias pueden incluir cifrado de datos, controles de acceso, auditorías de seguridad periódicas y monitoreo continuo para detectar y abordar vulnerabilidades con prontitud.

Establecer un marco de seguridad sólido para la cadena de suministro:

Las organizaciones deben establecer un marco de seguridad sólido para gestionar eficazmente la seguridad de la información de la cadena de suministro. Este marco debe describir políticas, procedimientos y directrices claras para garantizar prácticas de seguridad consistentes en toda la cadena de suministro. Debe incluir requisitos de seguridad para proveedores, contratistas y otros socios externos y políticas para el intercambio y la transmisión seguros de datos. Las evaluaciones y auditorías periódicas pueden validar la eficacia del marco e impulsar la mejora continua.

Esfuerzos colaborativos y asociaciones:

Las organizaciones deben fomentar la comunicación abierta y la colaboración con proveedores, vendedores y otras partes interesadas para alinear las prácticas de seguridad, compartir inteligencia sobre amenazas y fortalecer la postura de seguridad. Las iniciativas de colaboración pueden incluir plataformas para compartir información, auditorías de seguridad conjuntas y programas periódicos de concientización y capacitación en seguridad.

Gestión de riesgos de terceros:

Es esencial establecer procesos sólidos de gestión de riesgos de terceros. Esto implica realizar la debida diligencia al seleccionar socios, evaluar sus prácticas de seguridad y establecer acuerdos contractuales que describan las expectativas y responsabilidades de seguridad. Se deben realizar monitoreos y auditorías regulares de los controles de seguridad de terceros para garantizar el cumplimiento continuo.

Planes de respuesta y recuperación de incidentes:

A pesar de las medidas de seguridad proactivas, aún pueden producirse incidentes. Es fundamental contar con planes de recuperación y respuesta a incidentes bien definidos. Estos planes deben describir los pasos a seguir en caso de una violación de la seguridad, incluida la detección, contención, investigación y recuperación de incidentes. Las organizaciones deben realizar simulacros y simulacros de respuesta a incidentes con regularidad para probar la eficacia de sus planes e identificar áreas de mejora.

Un enfoque proactivo e integral de seguridad de la información de la cadena de suministro es crucial para el éxito a largo plazo y la continuidad del negocio en un panorama de amenazas en constante evolución.

Cómo la ISO 27001 puede ayudar a lograr una gestión eficaz de la cadena de suministro

ISO 27001 es un estándar reconocido internacionalmente para la gestión de la información, pero en realidad se trata de Gestión sistemática del riesgo, . Trabajar dentro del marco de ISO 27001 impulsará comportamientos y beneficios de seguridad para cualquier empresa que busque mejorar su resiliencia cibernética y gestionar eficazmente la seguridad de su cadena de suministro.

ISO 27001 aconseja a las empresas tener comoProceso sencillo implementado para la incorporación y gestión de proveedores.. En particular, concéntrese en lo siguiente:

  1. Establecer una política formal para proveedores, que describa sus requisitos para mitigar el riesgo asociado con terceros.
  2. Acordar y documentar estos requisitos con cada proveedor.
  3. Verificar que los proveedores cuenten con procesos para cumplir con los niveles adecuados de seguridad básica (incluidas sus propias cadenas de suministro). Esto podría hacerse mediante auditorías específicas, cuestionarios o controles para la acreditación con ISO 27001.
  4. Mantener una lista actualizada periódicamente de proveedores aprobados.
  5. Evaluar periódicamente si los proveedores cumplen con sus requisitos de seguridad.
  6. Garantizar que cualquier cambio tecnológico o de proceso se marque con prontitud y que usted comprenda su impacto en el riesgo del proveedor.

 

Puede parecer un consejo esencial y de sentido común, pero puede ahorrarles a las organizaciones tiempo, dinero, daños a su reputación y frustración si se implementan correctamente. Además, lograr el cumplimiento del marco ISO 27001 puede ofrecer una importante ventaja empresarial al demostrar sus credenciales de seguridad certificadas a clientes actuales y futuros.

A medida que las cadenas de suministro aumentan en tamaño y complejidad, los riesgos cibernéticos asociados también aumentan. Las organizaciones deben tomar medidas decisivas para proteger su información y sus activos. Aprovechando recursos como Guía de mapeo de la cadena de suministro ofrecida por el NCSC e implementando un SGSI basado en ISO 27001, las organizaciones pueden fortalecer sus prácticas de gestión de riesgos de la cadena de suministro y proteger sus operaciones de la evolución de las amenazas cibernéticas. Ahora es el momento de priorizar medidas proactivas para abordar estos desafíos de frente.

Puede leer el informe completo sobre el estado de la seguridad de la información aquí: https://es.isms.online/state-of-infosec-23/

Lea el informe