Descubre cómo evitar que tu negocio sea el eslabón débil en la cadena de suministro digital
La forma de hacer negocios ha cambiado por completo en los últimos años. El rastro de papel ha sido sustituido por la huella digital y las soluciones tecnológicas inundan el mercado. Este paso a la digitalización puede ser maravilloso para las empresas modernas. Aumenta la eficiencia y la velocidad, en especial en lo que respecta a las cadenas de suministro. Es posible contactar con un nuevo proveedor, un fabricante de software o un asociado con un simple clic, aunque con frecuencia se pasa por alto la postura de los nuevos asociados respecto a la seguridad, lo que supone un mayor riesgo tanto para usted como para las demás empresas en la cadena de suministro.
Las iniciativas de transformación digital están creando un escenario de mayor vulnerabilidad para los negocios. Encontrar e incorporar nuevos asociados es más fácil que nunca, sí, pero estas conexiones cada vez más numerosas no siempre son seguras y los ciberatacantes pueden aprovecharlas para acceder a sus datos. Según una encuesta realizada en 2018 por el Ponemon Institute (sitio en inglés), el 56 % de las organizaciones ha sufrido una fuga de información provocada por uno de sus proveedores. Destaca Target, que en 2014 padeció una fuga a gran escala que afectó a más de 70 millones de clientes y en cuyo origen estaba su proveedor de climatización, Fazio Mechanical Services (FMS). Una vez que los hackers lograron acceso al objetivo menor, FMS, pudieron colarse en la red de Target a través de la cadena de suministro digital.
Los responsables de TI suelen ser conscientes de los riesgos, pero muchas veces no están seguros de cómo implementar las precauciones necesarias. Según una encuesta de Spiceworks(sitio en inglés), el 44 % de los responsables de seguridad y TI afirma que sus empresas han sufrido una fuga de información significativa y con efecto en el negocio provocada por un distribuidor. Casi 250 de las empresas participantes en la encuesta respondieron que habían sufrido fugas de datos por culpa de fallos de seguridad de alguno de sus proveedores. Pero dar la espalda a proveedores y distribuidores no es una opción viable. La respuesta es asegurar la visibilidad de la cadena de suministro y buscar el equilibrio entre conectividad y seguridad.
Entonces, ¿quiénes componen una cadena de suministro digital?
Los distribuidores, asociados, proveedores y cualesquiera terceros que participen en un negocio componen la cadena de suministro. Puede haber contactos externalizados que se ocupen de realizar los pagos, del desarrollo de productos, de la administración de sitios web o, en el caso de Target, incluso del mantenimiento de las instalaciones físicas. Contar con una cadena de suministro digital ilimitada supone un problema para la privacidad de los datos. En el entorno actual, los datos fluyen no solo dentro de una empresa, sino entre la empresa y otros terceros y asociados, y también entre los usuarios y sus dispositivos. Por eso las fugas de datos son tan habituales. Hay puntos de acceso en todas partes y salvaguardar la información privada puede resultar complicado y caro, especialmente en el caso de las pymes, que se han convertido en un objetivo muy atractivo para los ciberdelincuentes. Casi la mitad de los ciberataques y las fugas se dirigen ya contra las pymes. ¿Cuál es el motivo?
Las pymes son la llave para acceder a empresas de mayor calado
Quienes atacan una cadena de suministro apuntan a las pymes para obtener acceso a empresas de mayor tamaño a través de cualquier conexión digital existente. Por ejemplo, Equifax achacó su enorme fuga de datos a un fallo de una empresa colaboradora externa. Los responsables se limitaron a atacar a una empresa más pequeña y con menos seguridad. Más reciente es el caso de Freedom Mobile, un proveedor de telefonía móvil canadiense que anunció una gran fuga provocada por un agujero de seguridad en un servicio externalizado. Por eso es importante supervisar los enlaces en la cadena de suministro digital y que las pymes cuenten con protección de nivel empresarial.
Se ataca a las pymes porque:
- Tienen menos presupuesto y menos recursos para defenderse de ciberataques, lo que las convierte en blancos atractivos.
- Las pymes suelen carecer de medidas de seguridad estratégicas y de personal formado, y solo adoptan nuevas (y dispares) soluciones cuando encuentran recursos para ello, lo que a su vez aumenta la superficie vulnerable y reduce la cohesión.
- Una pyme puede tardar más tiempo en detectar una fuga. Según el informe Investigación de fugas de seguridad de Verizon de 2018 (sitio en inglés), el 68 % de las fugas tarda meses (o más) en descubrirse
El impacto sobre una pyme de un ataque a la cadena de suministro
Tal vez te preguntes cuáles son las implicaciones para las pymes. ¿Qué sucede si se determina que tu eres el eslabón más débil? No solo corres el riesgo de ser la fuente de infección de varias empresas, es que corres el riesgo de acabar con tu propio negocio. Según el Ponemon Institute (sitio en ingles), a una pequeña empresa le cuesta una media de 690 000 USD recuperarse de un ataque informático, cifra que se eleva hasta el millón de dólares en el caso de una mediana empresa. Puede parecer poca cosa en comparación con las fugas empresariales de alto nivel, pero es habitual que una pyme no pueda continuar con su funcionamiento normal en estas circunstancias y se arriesga directamente a la bancarrota.
El coste de reiniciar las operaciones, la productividad perdida y la necesidad de reparar el sistema no son los únicos impactos negativos sobre una pyme afectada por un ataque a la cadena de suministro. El Reglamento general de protección de datos (RGPD) de la Unión Europea puede afectar a una pyme que recaba información de identificación personal. Esta normativa incluye la comunicación obligatoria de cualquier fuga de datos, con multas para quien no informe en un plazo de 72 horas desde el momento en que se detecta el problema. Esta multas son elevadas y pueden llegar a ser del 4 % de la facturación global anual o de 20 millones de euros (lo que sea mayor).
Queda bien claro lo devastadoras que pueden ser las fugas. La conectividad digital no hace sino poner una diana todavía más grande sobre las pequeñas y medianas empresas. Entonces, ¿qué pueden hacer las pymes para proteger su eslabón en la cadena?
Protege tu empresa
Educa a los soldados en la primera línea: tus empleados
El primer paso para proteger la red es la formación. Realizar sesiones de formación, reuniones informativas y seminarios web, incluso enviar correos electrónicos con recordatorios, puede ayudar a los empleados a detectar intentos de phishing y sitios web falsificados. Es importante incidir en el impacto que un ataque o una fuga puede tener sobre la empresa para que los empleados sean más precavidos.
Supervisa las cuentas y los niveles de acceso
Solo los usuarios de la organización que lo necesiten deben contar con acceso administrativo a las herramientas y plataformas. Es preciso eliminar las cuentas de antiguos empleados y asociados. Es esencial no perder este punto de vista. Es preciso cambiar con regularidad la contraseña de las cuentas, así como emplear contraseñas seguras y la autenticación de doble factor. Debes tener constancia de las aplicaciones y programas a los que tus empleados acceden desde los dispositivos de la empresa; implementar el filtrado de contenidos o una pasarela web segura también puede ayudar a proteger a los usuarios de páginas web no seguras.
Mantener el software actualizado
Los ciberdelincuentes atacan y aprovechan el software vulnerable. Un software obsoleto supone un agujero en la estrategia de seguridad muy fácil de utilizar. Como las actualizaciones se suceden con bastante frecuencia, es habitual que a los equipos de TI les cueste estar al día. El software de administración de parches ayuda a las empresas a centralizar por completo este proceso y así garantizar la seguridad de la red.
Utiliza cortafuegos, pasarelas web seguras y soluciones antivirus
Los nuevos métodos de ataque surgen con bastante rapidez. Contar con una solución de ciberseguridad robusta crea una barrera entre su red y los malos de la película. Instalar software antivirus en todos los dispositivos, un cortafuegos de red y pasarelas seguras reduce el riesgo de sufrir una costosa fuga de datos y proporciona tranquilidad.
Cómo mantenerse protegido en una cadena de suministro digital
Tanto si te preocupa ser el objetivo de un ataque como que tus contactos carezcan de un nivel de seguridad suficiente, la protección pasa por tener conciencia del riesgo. En este caso, hay que ser conscientes de las vulnerabilidades que, de forma inevitable, trae aparejada la conectividad digital. A continuación indicamos diversos modos de determinar el nivel de seguridad de su cadena de suministro digital, así como de implementar protecciones.
- Hacer una lista con tus proveedores, distribuidores, revendedores... Aquí entra cualquier empresa o persona que tenga acceso a tus datos o que se conecte con tu empresa de algún modo. Una encuesta reciente señalaba que solo el 35 % de las empresas cuenta con una lista exhaustiva de todos los terceros con los que comparte información confidencial, y que solo el 18 % sabe si sus proveedores comparten a su vez dichos datos con otros proveedores.
- Determina a qué datos tiene acceso cada proveedor: ¿información de tarjetas de crédito, números de la seguridad social, direcciones?
- Averigua para cada proveedor si, a través de sus propias cadenas de suministro, comparten datos de tu empresa. Un proveedor podría estar vendiendo los datos de tu empresa a otras empresas de investigación y marketing.
Pasos para proteger tu empresa:
- Elimina los accesos que ya no sean necesarios. La creación e imposición de niveles de privilegio puede ayudar a determinar qué personas deben tener acceso a las distintas áreas de sus datos.
- Forma a los empleados que trabajen con terceros en el modo de proteger los datos. Aplica las mismas directrices de seguridad a todos los proveedores, no importa cuánto tiempo lleven trabajando con su empresa.
- Implementa las acreditaciones de seguridad necesarias, como Cyber Essentials o la certificación de administración de seguridad de la información ISO/IEC 27001. Estas acreditaciones garantizan que una empresa cumple unos niveles mínimos de seguridad con sus clientes y proveedores.
Instala soluciones de ciberseguridad de nivel empresarial para protegerse. A veces quedan rendijas abiertas. Es importante contar con varias capas de seguridad para proteger tu red ante la imprevisibilidad de la ciberdelincuencia.