Los avances tecnológicos en la cadena de suministro plantean problemas de seguridad

Varias tecnologías, como la inteligencia artificial (IA), los macrodatos, la analítica y la cadena de bloques, están cambiando drásticamente la forma en que funciona la cadena de suministro. Es más rápido, más preciso y más predictivo que nunca antes. Todo es bueno. ¿O no? Con estos avances, viene al menos un obstáculo importante: el aumento del riesgo de ciberseguridad. Una cadena de suministro conectada ofrece a los habilidosos cibercriminales más vectores de ataque y una recompensa más abundante, posiblemente en varias organizaciones. Esto convierte a las cadenas de suministro en un blanco irresistible.

Los ciberataques son inevitables

A medida que los ciberataques a la cadena de suministro se hacen cada vez más comunes, las organizaciones deben esperar un ataque y planear cómo responder en lugar de trabajar solo para prevenir el ataque. En pocas palabras, los ciberataques son una cuestión de “cuándo” y no de “si”.

Gartner, en “Thriving Amid Heightened Complexities Supply Chain Survey” (“Prosperar en medio de una mayor complejidad: Encuesta sobre la cadena de suministro”)¹ de 2022, descubrió que el 31% de las personas encuestadas informó que, en algún momento de los últimos dos años, había experimentado un ciberataque que afectó las operaciones de la cadena de suministro. La empresa de estudios de mercado prevé que esta cifra aumente un 45% de aquí a 2025.² Si bien el error humano sigue siendo un vector de ataque común, desde los ataques de phishing por correo electrónico hasta conseguir que alguien conecte una unidad de almacenamiento en miniatura infectada, el ransomware y otras amenazas relacionadas con la extorsión también están en aumento y se incrementaron hasta en un 180% el año pasado, según el Informe de investigaciones sobre filtración de datos (DBIR)³ de 2024 (Figura 1).

Figura 1: Los seres humanos siguen siendo el punto de acceso más vulnerable, y el ransomware y la extorsión se están volviendo cada vez más comunes. (Fuente de la imagen: Verizon DBIR)

Este tipo de filtraciones son costosas en términos de tiempo y dinero. El costo promedio de una brecha de seguridad de la industria se incrementó hasta $16.2 millones por organización, con un tiempo promedio hasta la contención del incidente de 86 días, según el Informe global de costos de riesgos internos de 2023 del Ponemon Institute.⁴ Compare eso con las estadísticas del año anterior de $15.4 millones y 85 días. En estas estadísticas, ni siquiera se considera el costo de la marca de una organización.

Los ciberataques suelen aparecer en los titulares, y los sectores de alta tecnología y de fabricación son blancos importantes. El año pasado, las organizaciones de fabricación fueron el blanco más importante de los cibercriminales (Figura 2). Con los desarrollos tecnológicos recientes, ahora la ciberseguridad es crucial para el éxito de una organización. Al percatarse de esto, las empresas han estado aumentando gradualmente su inversión en ciberseguridad. En 2025, se prevé que el presupuesto mundial alcanzará $212 mil millones, un incremento de 15.1% con respecto a 2024.⁵

Figura 2: El año pasado, las organizaciones de fabricación fueron las más atacadas por los ciberdelincuentes. (Fuente de la imagen: Statistica)

Mejores prácticas de seguridad

En este entorno vibrante y cambiante, los departamentos de adquisiciones deben priorizar las medidas de ciberseguridad e involucrar en esto a los empleados internos, a los clientes y a los proveedores de toda la cadena de suministro. Dentro de la organización, la ciberseguridad debe seguir siendo la máxima prioridad y debe considerarse durante las evaluaciones de riesgo regulares. Es esencial fomentar la conciencia cibernética e invertir en la resiliencia de la ciberseguridad. Entre las mejores prácticas, se incluyen:

• Cifrado de datos: Cifrar todos los tipos de datos usando el estándar de cifrado avanzado (AES). El gobierno estadounidense ha elegido este código de bloque simétrico para proteger la información clasificada.
• Credenciales del empleado y acceso seguros: Los humanos son falibles, así que hay que reforzar la capacitación y los recordatorios periódicos. El personal, la primera línea de defensa de una empresa, debe ser capaz de identificar correos electrónicos de phishing y enlaces sospechosos y proteger sus credenciales de inicio de sesión.
• Entrenar para la vida real: Dar a conocer a los empleados escenarios reales junto con información sobre cómo esos ciberataques afectaron a una empresa y a sus socios. Ofrecer actualizaciones regulares sobre nuevos ataques: la información llamativa se retiene con más facilidad.
• Someterse a pruebas de penetración: Contratar a un experto para detectar vulnerabilidades y abordarlas antes de que sean explotadas. Actualizar contraseñas débiles, y asegurar bases de datos, puntos finales y redes.
• Planificar frente a los problemas: Crear y mantener un plan de respuesta ante incidentes directo y ejecutable con medidas correctivas desplegables Probarlo cada cierto tiempo.

La ruta para los socios

Al igual que priorizar la ciberseguridad interna, también es importante asegurar que se hayan implementado estrategias de seguridad de la información de los socios, tanto en el nivel uno como en niveles inferiores. Elaborar una lista de verificación de seguridad de la información y asegurarse de que sus socios la cumplan. Además, animarlos a incorporar más profundamente estas buenas prácticas en la cadena de suministro. La Matriz de controles de la nube CSA ofrece 197 objetivos de control en 17 dominios que abarcan aspectos críticos de la seguridad de la nube y el cumplimiento.⁶ Sus socios, si son vulnerables, son vectores de ataques que pueden permitir a un malhechor entrar en su organización.

La seguridad es como jugar al burro. Tan pronto como los chicos buenos crean una nueva forma de asegurar sus sistemas y datos, los chicos malos averiguan una forma de irrumpir en ellos. Con el creciente uso de la tecnología avanzada, la vigilancia y el cumplimiento de las mejores prácticas son cruciales para mantenerse a salvo.

Referencias

1: https://www.scmr.com/article/tackling_hidden_risks_in_the_supply_chain_insights_for_procurement_leaders - :~:text=Según la encuesta sobre cadenas de suministro Prosperando en medio de complejidades mayores de 2022 realizada por Gartner, 31%25

2: https://aratum.com/perspective/emerging-threats-in-supply-chain-cybersecurity-in-2024/#:~:text=The%20Most%20Compelling%20Cybersecurity%20Stats%20of%202022%20%7C%20Alert%20Logic

3: https://www.verizon.com/business/resources/reports/dbir/

4: https://ponemonsullivanreport.com/2023/10/cost-of-insider-risks-global-report-2023/

5: https://www.gartner.com/en/newsroom/press-releases/2024-08-28-gartner-forecasts-global-information-security-spending-to-grow-15-percent-in-2025

6: https://cloudsecurityalliance.org/research/cloud-controls-matrix