Lo que nos dice la brecha de capital sobre la gestión del riesgo de la cadena de suministro

Lo que nos dice Capita Breach sobre la gestión del riesgo de la cadena de suministro

Por Phil Muncaster • 8 de junio de 2023

Cuando el gigante de la subcontratación de TI, Capita, sufrió una filtración de ransomware en marzo, hizo todo lo posible por controlar la narrativa de los medios. Pero incidentes como este en la cadena de suministro tienen la costumbre de escapar incluso de los equipos de relaciones públicas mejor entrenados. Después de algunas semanas de noticias gota a gota de Capita, llegó la peor pesadilla de la empresa: una avalancha de informes de notificación de incumplimiento de clientes corporativos. Entre este y un segundo incidente relacionado con una mala configuración de la nube, el recuento de víctimas ha aumentado a al menos 90.

Hay muchas conclusiones para los equipos de seguridad y cumplimiento. Pero pueden resumirse en una sola idea. Puede contar con el mejor programa de mitigación de riesgos cibernéticos del mundo, pero su organización aún podría estar críticamente expuesta a incidentes si no cubre la cadena de suministro.

Según una estimación El año pasado, el 98 % de las organizaciones globales sufrieron una violación de la cadena de suministro en 2021. Es hora de ampliar la visibilidad y el control desde el interior hacia el exterior de la empresa.

¿Qué pasó con Capitán?

Capita ha mantenido silencio sobre el “incidente” que, según dice, tuvo lugar el 22 de marzo, revelando solo hasta la fecha que "algunos datos fueron extraídos de menos del 0.1% de su patrimonio de servidores". De hecho, informes sugieren que el grupo de ransomware BlackBasta estaba detrás de la infracción, y que los datos personales y de cuentas bancarias de las víctimas ya se vendían en la web oscura. Esto tiene graves implicaciones para los numerosos clientes corporativos de la empresa y, en última instancia, para sus clientes.

Capita tiene contratos por valor de miles de millones de libras con clientes del gobierno y del sector privado, incluidos Royal Mail, Axa y USS, uno de los fondos de pensiones más grandes del Reino Unido. Regulador Oficina del Comisionado de Información (ICO) ha sido inundado con notificaciones de incumplimiento de estos clientes. Al mismo tiempo, el Regulador de Pensiones (TPR) supuestamente ha escrito a más de 300 fondos para pedirles que comprueben si ellos también se han visto afectados.

Capita no es la primera ni será la última fuente de cadena de suministro cibernético riesgo. Más recientemente, marcas de renombre, incluidas BA, Boots y la BBC, se vieron sorprendidas por una violación de datos personales y financieros que afectó al personal y potencialmente a los clientes. ¿El culpable? Un error en una herramienta de transferencia de archivos llamada MOVEit, que utilizaba su proveedor de nómina, Zellis. Se cree que miles de empresas, usuarios directos e indirectos de software, pueden haberse visto afectadas.

Por qué es difícil gestionar el riesgo en la cadena de suministro

A medida que el impacto de ambas infracciones continúa apareciendo en los titulares de todo el mundo, ahora es el momento de comprender mejor el riesgo de la cadena de suministro. Jamie Akhtar, director ejecutivo de CyberSmart, sostiene que el incidente de Capita es uno de los mejores ejemplos de los riesgos de seguridad que plantean las cadenas de suministro.

“Esto sirve como una advertencia para la comunidad empresarial del Reino Unido. Si usted es parte de una cadena de suministro, los ciberdelincuentes intentarán atacarlo tarde o temprano; la oportunidad de causar interrupciones o robar datos importantes es demasiado buena para dejarla pasar”, afirma. "Por lo tanto, instamos a las empresas de todos los tamaños a pensar en su cadena de suministro y los riesgos que conlleva".

Simon Newman, director ejecutivo de The Resiliencia cibernética Centre for London, añade que los atacantes se dirigen cada vez más a cadenas de suministro grandes y complejas porque los esfuerzos de seguridad internos han mejorado.

“La capacidad de comprometer la seguridad de un proveedor no sólo proporciona una posible puerta trasera a organizaciones más grandes, sino que, como es probable que el tercero también proporcione productos o servicios a otras empresas, significa que la escala y el alcance del ataque es mucho mayor”, advierte.

Entonces, ¿por qué es tan difícil gestionar el riesgo de la cadena de suministro?

Un ataque a la cadena de suministro puede adoptar muchas formas. Podría ser que los datos corporativos sean administrados por un proveedor que posteriormente sea violado (como Capita o Blackbaud). Podría ser que un proveedor o socio con inicios de sesión en su red se vea comprometido, dando a los piratas informáticos acceso a los activos y datos de TI de su organización. Esto sucedió en la masiva 2013 Incumplimiento de objetivo. O incluso podría ser que varios usuarios intermedios de software comprometido se infecten después de que los piratas informáticos implanten malware o exploten errores en él, como ocurrió con MOVEit y Aceleración.

A medida que la transformación digital avanza a buen ritmo, la superficie de ciberataques de los proveedores sigue creciendo. Sus entornos de TI cambian constantemente, lo que requiere un escrutinio cercano e, idealmente, continuo. Pero esto no está sucediendo. De acuerdo con la Centro nacional de seguridad cibernética (NCSC), algunos de los principales desafíos con la gestión de riesgos de la cadena de suministro radican en lograr los conceptos básicos correctos, como:

Comprender los riesgos asociados con la mala seguridad de la cadena de suministro
Invertir más en mitigación de riesgos
Mejorar la visibilidad de las cadenas de suministro
Obtener las herramientas y la experiencia adecuadas para evaluar la ciberseguridad de los proveedores
Comprender qué preguntas hacer a los proveedores

Lamentablemente, los esfuerzos actuales no son suficientes. Según un informe del gobierno, sólo una de cada 10 (13%) empresas revisa los riesgos que plantean los proveedores. Como se mencionó anteriormente, las barreras citadas en el informe incluyen el dinero, las habilidades, la priorización y la obtención de la información correcta de los proveedores. Pero también es importante saber qué proveedores controlar y qué controles realizar. Aquí es donde internacional estándares como ISO 27001 va a ayudar.

Cómo puede ayudar la ISO 27001

Según IBM, el 20% de los incidentes de vulneración de datos provienen de proveedores, a un costo promedio de 4.46 millones de dólares por vulneración, más que el promedio de todos los tipos de vulneración (4.35 millones de dólares). Esto por sí solo debería ser suficiente para centrar las mentes en la tarea de gestión de la cadena de suministro riesgo de manera más efectiva. ¿Pero cómo? En primer lugar, considere el mapeo de la cadena de suministro (SCM) del NCSC. ayuda, que te ayudará a entender quiénes son tus proveedores, qué ofrecen y cómo lo proporcionan. Esto debería permitir una toma de decisiones más eficaz basada en el riesgo.

La evaluación y gestión de la seguridad de los proveedores también es un componente crítico de un Sistema de Gestión de Seguridad de la Información (SGSI). ISO 27001 puede indicarle cómo llegar allí mediante pasos como:

Establecer una política formal para proveedores, que describa sus requisitos para mitigar el riesgo asociado con terceros.
Acordar y documentar estos requisitos con cada proveedor.
Verificar que los proveedores cuenten con procesos para cumplir con los niveles adecuados de seguridad básica (incluidas sus propias cadenas de suministro). Esto podría hacerse mediante auditorías específicas, cuestionarios o controles para la acreditación con ISO 27001.
Mantener una lista actualizada periódicamente de proveedores aprobados.
Evaluar periódicamente si los proveedores cumplen con sus requisitos de seguridad.
Garantizar que cualquier cambio tecnológico o de proceso se marque con prontitud y que usted comprenda su impacto en el riesgo del proveedor.

A medida que las cadenas de suministro siguen creciendo en tamaño y complejidad, también lo hace el riesgo cibernético. Es hora de actuar.

Simplifique la gestión de su cadena de suministro hoy

Descubra cómo nuestra solución ISMS permite un enfoque simple, seguro y sostenible para la gestión de la cadena de suministro y la gestión de la información con ISO 27001 y más de 50 marcos más.

Conoce más

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster