Cómo lograr una mejor seguridad cyber de la cadena de suministro

La falta de restricciones impuestas a los servidores de un proveedor de servicios de ingeniería llevó a la exposición inadvertida de al menos 157 gigabytes de datos confidenciales de más de 100 fabricantes de automóviles y compañías de partes. La vulnerabilidad fue revelada a fines de julio de 2018, y no está claro si algún usuario malicioso tuvo acceso a los datos.

Esta es una de las muchas brechas cibernéticas de terceros que se han producido en el último año, lo que subraya la importancia de implementar un sistema de gestión de riesgos de seguridad cibernética del proveedor.

Sus Vulnerabilidades Cibernéticas de la Cadena de Suministro

La cadena de suministro es una parte integral no solo del modelo comercial de su empresa, sino también del ecosistema cibernético extendido de su empresa. Los distribuidores y proveedores pueden tener conexiones directas con las redes o sistemas de su empresa (incluidos los sistemas ERP, pedidos y facturación) o pueden tener acceso a datos de propiedad. Típicamente existen interconexiones similares entre los proveedores a lo largo de las cadenas de suministro.
Esto aumenta drásticamente la "superficie de ataque" de su organización, la gama completa de oportunidades para que los hackers accedan a sus datos. Los límites y las exposiciones de esta superficie expandida de ataque a menudo no se comprenden bien. Los ataques sofisticados son cada vez más comunes, lo que hace que la mayoría de las empresas prioricen la protección de los activos sensibles. Sin embargo, las organizaciones siguen siendo muy vulnerables a través de los datos y sistemas que comparten con terceros.

Evaluando las relaciones de su proveedor

Las empresas preocupadas por los riesgos de seguridad cibernética dentro de sus cadenas de suministro deben realizar evaluaciones más profundas de sus relaciones actuales con los proveedores. Le aconsejamos que se haga las siguientes preguntas:

● ¿Tengo un inventario completo de proveedores y terceros con acceso a mis datos? El primer paso para proteger sus datos es saber quién tiene acceso a ellos. Identificar qué información se comparte con qué proveedores le permite comprender qué tan grandes, amplias y profundas son sus relaciones.

●  ¿Cómo espero que estas organizaciones manejen y protejan mis datos? Una vez que se han identificado las relaciones es esencial desarrollar una política que sus proveedores deben cumplir para acceder y proteger sus datos. También determine qué proveedores de políticas de seguro cibernético tienen en caso de que surja un problema.

●  ¿Cómo controlo a los proveedores para asegurarme de que cumplen las expectativas? Las herramientas de monitoreo en tiempo real pueden detectar problemas experimentados por proveedores particulares, como malware activo o bots provenientes de sus redes. Se debe establecer un programa formal de evaluación y análisis para un monitoreo continuo o incluso permanente. Aunque esto se puede hacer anualmente como parte de una evaluación de cumplimiento estándar, es prudente realizar estos controles con mayor frecuencia. Los proveedores que se ocupan de datos más confidenciales, o para los que una gran parte de esa relación se basa en la gestión de datos, probablemente se evaluarán trimestralmente.

Si se identifica un problema durante este monitoreo, debe haber un recurso claramente definido con el proveedor. Su organización también puede considerar autorizar a su líder de seguridad cibernética (por ejemplo, un jefe de seguridad de la información o un jefe de información) con la autoridad para suspender o incluso cancelar proveedores que no puedan demostrar que pueden salvaguardar adecuadamente los datos de su organización, cadena de suministro y operación exitosa.