La forma en que hacemos negocios ha cambiado completamente en los últimos años. Los rastros de papel han sido reemplazados por huellas digitales y las soluciones tecnológicas están inundando el mercado. Este paso a la digitalización puede ser maravilloso para las empresas modernas. Aumenta la eficiencia y la velocidad de los negocios, especialmente cuando se trata de cadenas de suministro. Un nuevo proveedor, un proveedor de software de terceros o un socio pueden conectarse a un negocio con sólo pulsar un botón, pero a menudo se puede pasar por alto la postura de seguridad de los nuevos socios comerciales, exponiéndole a usted y a otras empresas de su cadena de suministro a un mayor riesgo.

Las iniciativas de transformación digital están creando un panorama más vulnerable para las empresas. Encontrar e incorporar nuevos socios puede ser más fácil que nunca, pero estas crecientes conexiones entre compañías no siempre son seguras y los ciberataques pueden utilizarlas para acceder a los datos. Según una encuesta realizada en 2018 por el Ponemon Institute, el 56% de las organizaciones han tenido una violación de datos causada por uno de sus proveedores. Más notablemente, Target experimentó una brecha a gran escala en 2014 que afectó a más de 70 millones de clientes debido a su proveedor de HVAC, Fazio Mechanical Services (FMS). Una vez que los hackers accedieron al objetivo más pequeño, FMS, pudieron acceder a la red de Target a través de la cadena de suministro digital.

Los líderes de TI a menudo son conscientes de los riesgos, pero no están seguros de cómo implementar las precauciones necesarias. Según una encuesta de Spiceworks, el 44% de los líderes de seguridad y TI dijeron que sus empresas habían experimentado una violación de datos significativa y que alteraba el negocio causada por un proveedor. Cerca de 250 empresas que participaron en la encuesta dijeron que habían sufrido una violación de datos debido a fallos de seguridad en uno de sus proveedores. Pero, rechazar a los proveedores y distribuidores no es una opción viable. La respuesta es garantizar la visibilidad de su cadena de suministro y lograr un equilibrio entre conectividad y seguridad.

Entonces, ¿en qué consiste realmente una cadena de suministro digital?

Los vendedores, socios, proveedores, distribuidores o cualquier otra entidad involucrada en un negocio forman parte de las cadenas de suministro. Las conexiones externas pueden ser la gestión de cuentas por pagar, el desarrollo de productos, la gestión de sitios web o, en el caso de Target, incluso el mantenimiento de las instalaciones físicas. Tener una cadena de suministro digital interminable crea un problema con la privacidad de los datos. En el entorno actual, los datos fluyen no sólo a través de una empresa, sino también entre terceros, socios y entre los usuarios y sus dispositivos. Esta es la razón por la que las brechas de datos son tan comunes. Los puntos de acceso a los datos están en todas partes y salvaguardar la información privada puede ser desalentador y costoso, especialmente para las pequeñas y medianas empresas (PYMES) que se han convertido en un objetivo atractivo para los ciberdelincuentes. Casi la mitad de los ciberataques e infracciones se dirigen ahora a las PYME. ¿Por qué es eso?

Las PYMES son la clave para acceder a las grandes empresas

Los atacantes de la cadena de suministro se dirigen a las PYMES para obtener acceso a empresas más grandes a través de cualquier conexión digital. Por ejemplo, Equifax culpó de su enorme violación de datos a un fallo en una empresa externa que estaba utilizando. Los atacantes simplemente apuntaron a una empresa más pequeña con menos seguridad. Más recientemente, Freedom Mobile, un proveedor de telefonía móvil en Canadá, anunció una violación generalizada que fue causada por un agujero de seguridad creado por un servicio de terceros que estaba utilizando. Por eso es importante controlar los eslabones de la cadena de suministro digital y que las PYMES cuenten con protección de nivel empresarial.

Las pequeñas y medianas empresas (PYMES) son el objetivo porque:

  • Tienen menos presupuesto y menos recursos para defenderse de un ciberataque, lo que los convierte en objetivos atractivos.
  • Las PYMEs a menudo carecen de medidas de seguridad estratégicas y de personal capacitado -sólo añaden soluciones nuevas y dispares cuando encuentran los recursos, lo que conduce a más superficies de ataque y menos cohesión.
  • Las pymes pueden tardar más tiempo en detectar una infracción. De acuerdo con el Informe de investigaciones de violación de datos 2018 de Verizon, el 68% de las violaciones tardaron meses o más en descubrirse.

El impacto de un ataque a la cadena de suministro en una PYME

Usted se preguntará cuáles son las implicaciones para las PYMES. ¿Qué pasa si te identifican como el eslabón más débil? No sólo se arriesga a ser la fuente de infección para múltiples compañías, sino que también se arriesga a destruir su propio negocio. Según el Ponemon Institute, a las pequeñas empresas les cuesta un promedio de 690.000 dólares reagruparse después de un pirateo, y más de 1 millón de dólares para las empresas medianas. Esto puede parecer trivial en comparación con las infracciones empresariales de alto perfil, pero las PYMES a menudo no pueden continuar con sus operaciones comerciales normales, e incluso corren el riesgo de perder sus empresas por completo.

El costo de reiniciar las operaciones, la pérdida de productividad y las reparaciones del sistema no son el único impacto negativo para las PYMES afectadas por los ataques a la cadena de suministro. El Reglamento General de Protección de Datos (GDPR) de la Unión Europea puede afectar a las PYMES que recopilan información de identificación personal. Estas regulaciones incluyen el informe obligatorio de violaciones, con multas para las organizaciones que no informen una violación dentro de las 72 horas de su detección. Las penalizaciones son elevadas, llegando hasta el 4% de los ingresos anuales globales o 20 millones de euros (22,4 millones de dólares), la cantidad que sea mayor.

Está bastante claro lo devastadoras que pueden ser las violaciones. La conectividad digital sólo está poniendo un objetivo más grande en las pequeñas y medianas empresas. Entonces, ¿cómo es que las PYMES bloquean su eslabón en la cadena?

Defender su negocio

Educar a la primera línea - sus empleados

El primer paso para proteger su red es la educación. La realización de cursos de formación, reuniones informativas, seminarios web o incluso el envío de recordatorios por correo electrónico puede ayudar a los empleados a detectar tácticas de phishing y sitios web falsos. Es importante subrayar el impacto de un pirateo o violación en el negocio para motivar a los empleados a ser más cuidadosos.

Supervisar las cuentas y los niveles de acceso

Sólo los usuarios necesarios dentro de su organización deben tener acceso administrativo a las herramientas y plataformas. Las cuentas antiguas de ex-empleados o ex-socios deben ser eliminadas. Es fundamental llevar un registro de esto. Las contraseñas de las cuentas deben cambiarse regularmente, con fuertes combinaciones de contraseñas y autenticación de dos factores. Manténgase al tanto de cualquier aplicación o programa al que sus empleados estén accediendo desde los dispositivos de la empresa; la implementación de un filtro de contenido o una puerta de enlace segura también puede ayudar a proteger a los usuarios de páginas web no seguras.

Mantenga el software parcheado

Los ciberdelincuentes atacan y se benefician del software no parcheado. Es una forma fácil para que los hackers encuentren un hueco en su estrategia de seguridad. Con los nuevos parches que se publican con bastante frecuencia, los equipos de TI tienen dificultades para mantenerse al día. El software de gestión de parches ayuda a las empresas a centralizar la aplicación de parches completos y a garantizar la seguridad de la red.

Utilice cortafuegos, gateways seguros y soluciones antivirus

Nuevos métodos de ataque están apareciendo rápidamente. Las robustas soluciones de ciberseguridad proporcionan una barrera entre su red y los malos. La colocación de software antivirus en todos los dispositivos, un cortafuegos de red y puertas de enlace seguras reduce el riesgo de una costosa infracción y proporciona tranquilidad.

Mantenerse protegido en una cadena de suministro digital

Ya sea que le preocupe ser el objetivo o que sus propias conexiones de terceros carezcan de la suficiente protección, la seguridad comienza con la conciencia. En este caso, reconociendo las vulnerabilidades que inevitablemente conllevan la conectividad digital. A continuación encontrará algunas formas de determinar el nivel de seguridad de su cadena de suministro digital y cómo implementar la protección.

  • Enumere sus vendedores, proveedores, distribuidores, revendedores - realmente cualquier compañía o individuo que tenga acceso a sus datos o que esté conectado a su compañía de alguna manera. En una encuesta reciente, sólo el 35% de las empresas tenían una lista completa de todos los terceros con los que compartían datos confidenciales, y sólo el 18% sabía si sus proveedores compartían esos datos con otros proveedores.
  • Determinar a qué datos tiene acceso cada proveedor: información de la tarjeta de crédito, números de seguro social, direcciones...
  • Averigüe si cada proveedor está compartiendo datos de su empresa a través de su propia cadena de suministro. Los proveedores podrían estar vendiendo datos de su negocio a empresas de investigación o de marketing.

Pasos para proteger su negocio:

  • Quite el acceso donde no sea necesario. La creación y aplicación de niveles de privilegios puede ayudar a determinar qué personas deben tener acceso a diferentes áreas de sus datos.
  • Eduque a los empleados que trabajan con terceros sobre cómo salvaguardar los datos. No importa cuánto tiempo lleve el proveedor en el negocio con su empresa, se deben aplicar las mismas directrices de seguridad.
  • Implementar las acreditaciones de seguridad necesarias, como Cyber Essentials y/o ISO/IEC 27001 para la gestión de la seguridad de la información. Estas acreditaciones verifican que las empresas están siguiendo un nivel de seguridad básico para sus clientes o proveedores.

Instale soluciones de ciberseguridad a nivel empresarial para protegerse. A veces las cosas se escapan por las grietas. Es importante contar con varias capas de seguridad para proteger su red de la impredecibilidad de la ciberdelincuencia.

 

Publicado en www.infratech.es el 23-07-2019

Autor: Gill Langston para blog.avast.com - Gill Langston es Senior Product Manager de Avast Business, una división de Avast, el líder mundial en productos de seguridad digital. En su cargo actual, Gill es responsable de la estrategia y la hoja de ruta, así como de la definición de funciones y servicios para la plataforma CloudCare. En los últimos 12 años, ha trabajado con organizaciones de todos los tamaños en esfuerzos para asegurar su infraestructura y alcanzar los objetivos de cumplimiento a través de la seguridad del correo electrónico, la seguridad de la red, la seguridad de los puntos finales, la gestión de parches, el archivo y la supervisión de eventos. Anteriormente, Gill ocupó varios puestos de liderazgo en ventas y gestión de productos en GFI Software y se desempeñó como Director de Gestión de Productos en ThreatTrack Security y, más recientemente, en Qualys. Gill vive en Charlotte, Carolina del Norte. Es un nerd de la ciencia ficción, toca la guitarra, el bajo y la batería, y está criando a una hija de 10 años.

Traducido por Infratech Solutions. Artículo original: https://blog.avast.com/digital-supply-chains