Los ciberataques sufridos por Colonial Pipeline, SolarWinds y Microsoft Exchange son recordatorios claros de que la ciberseguridad es una cuestión central para la cadena de suministro y de que la frecuencia y el impacto de esta amenaza crecen sin parar. Colonial Pipeline personifica las cadenas de suministro en el sentido más verdadero, proporcionando el 45 por ciento del combustible a la costa este de los EE. UU. SolarWinds sufrió un ataque en su cadena de suministro de desarrollo de software, lo que afectó una actualización para 18000 usuarios del software de administración de red, incluidas varias agencias gubernamentales clave de EE. UU. Por su parte, el ataque a Microsoft Exchange afectó a 30 000 usuarios como mínimo.
Estos son ejemplos perfectos de la importancia que tiene la ciberseguridad de la cadena de suministro. Sistemáticamente, los piratas informáticos atacan de manera directa a las organizaciones y utilizan indirectamente otras empresas de su cadena de suministro como puerta de acceso a objetivos muy valiosos.
Todo esto tiene lugar en un momento de alternaciones en el lugar de trabajo impulsadas por la pandemia de la COVID-19. Las empresas están acelerando su transformación digital para generar una mayor visibilidad, agilidad y resiliencia a la hora de acceder al mercado y satisfacer las necesidades de sus clientes. Cada día se comparten más datos críticos en cadenas de suministro globales de gran alcance. Todas las empresas actuales están conectadas. Ninguna empresa es, ni puede ser, una fortaleza de información aislada por un foso impenetrable.
SolarWinds es un triste recordatorio de que si las empresas de su ecosistema son vulnerables, usted también lo es. A partir de ahora, no debe volver a pensar en la ciberseguridad sin tener en cuenta el riesgo que plantean los terceros. Y, a la inversa, las empresas de su cadena de suministro, incluso las pequeñas, nunca deberían pensar que son seguras porque usted «no tiene nada que los piratas informáticos quieran».
En el mundo actual de la cadena de suministro cada vez más digital e interconectada, todas las organizaciones, sean del tamaño que sean, son un objetivo potencial. Los piratas informáticos intentarán atravesar sus sistemas para llegar a otra empresa e intentarán pasar por sus clientes o proveedores para llegar a usted. Toda la situación se complica mucho más debido a los nuevos modelos de negocio híbridos. Puede que sus empleados estén rotando para trabajar en casa y en la oficina, usando diferentes dispositivos y conexiones. Aunque crea que tiene la situación bajo control, ¿qué puede decir de sus proveedores, socios y otros terceros en su cadena de suministro?
Si es dueño de una gran empresa, a continuación se muestran algunos pasos básicos que debe dar inmediatamente con las partes interesadas de su cadena de suministro para ayudarles a protegerse y, en última instancia, protegerse a usted mismo.
En primer lugar, debe asegurarse de que tanto usted como todas las empresas de su cadena de suministro dispongan de un plan de respuesta a incidentes que incluya copias de seguridad de datos críticos programadas habitualmente. Como destaca el incidente de Colonial, saber qué hacer durante y después de un evento y contar con una copia de seguridad de los datos esenciales en caso de un ataque de ransomware, podría ser la diferencia entre un gran golpe para su negocio y una leve molestia.
Para ayudar a implementar esta y otras acciones, las empresas de su cadena de suministro deben disponer de un líder cibernético designado y capacitado. Una persona que se encargue de crear una cultura de ciberseguridad centrándose en el comportamiento humano. No tiene que ser un experto en tecnología. Debe saber comunicar lo importante que es para todos desarrollar buenos hábitos cibernéticos. Debe asegurarse de que la empresa implemente algunas políticas sencillas centradas en cuatro aspectos fundamentales:
- Frases de contraseña: anime a los empleados a cambiar las contraseñas por frases de 15 caracteres. Se ha sabido que algunos empleados de SolarWinds utilizaban «solarwinds123» como contraseña. Nunca hay que dar facilidades a los piratas informáticos que buscan adivinar la contraseña. Cualquier contraseña de 8 caracteres se puede piratear en 3 minutos, en cambio, con una contraseña de 13 caracteres, se tardan 5,2 millones de años.
- Autenticación de múltiples factores: úsela siempre que esté disponible. Si no estuviera disponible, considere la posibilidad de cambiarse a un software o servicio que la ofrezca.
- Phishing: pida al líder cibernético que imparta un curso de formación de actualización para los empleados sobre cómo detectar un mensaje de texto o correo electrónico de phishing. Puede incluso parecer que el correo electrónico provenga de otra persona de su empresa o de la suya. Subraye la idea de que nunca se debe abrir un archivo adjunto o enlace si existe la más mínima sospecha. Indíqueles que se comuniquen con el remitente a través de canales alternativos para verificar que sea realmente esa persona.
- Dispositivos: anime a terceros a revisar qué dispositivos están usando sus empleados para conectarse a su red o a la suya. Si utilizan dispositivos personales, asegúrese de que sigan las normas sobre frases de contraseña y autenticación de múltiples factores. Evite el uso de USB y medios extraíbles.
Estos aspectos básicos y otras recomendaciones desarrolladas conjuntamente por el Digital Supply Chain Institute (DSCI) y el Cyber Readiness Institute (CRI) pueden ayudarle a empezar a fortalecer su seguridad y la de su cadena de suministro mediante la creación de una cultura operativa de ciberseguridad. Empiece hoy mismo a concienciar a los terceros con los que trabaja. Consiga que adquieran buenos hábitos cibernéticos. Es fundamental para su empresa y para todas las empresas con las que interactúa.
Trabajando juntos, podemos mejorar la ciberseguridad para todos. Craig Moss es vicepresidente ejecutivo de Ethisphere. También es director de Gestión del Cambio del Digital Supply Chain Institute y director de Contenido del Cyber Readiness Institute.
Christopher G. Caine es presidente del Center for Global Enterprise, una organización sin ánimo de lucro con sede en Nueva York y dedicada al estudio de las empresas actuales en la era de la integración económica global. También es presidente y & director ejecutivo de Mercator XXI, una empresa de servicios profesionales que ayuda a los clientes a participar en la economía global.
