Centro de soporte

Blog

Políticas de seguridad, cadenas de suministro y covid 19

Actualmente gran parte de las organizaciones independientemente de su core de negocio forman parte de una compleja cadena de suministros cada vez más amplia. Hoy en medio de la crisis que ha suscitado el Covid-19 a nivel mundial, uno de los escenarios que tendrán que analizar las compañías será la creación de alianzas con proveedores e incluso competidores para que tendencias como el “home delivery” no eleve sus costos. Pero ¿las empresas están realmente preparadas para afrontar estos desafíos administrativos y de seguridad, cuando el intangible más preciado de la compañía es la información?

En el “RSA Conference” que es uno de los eventos anuales más importante sobre ciberseguridad, Jon Boyens del NIST (National Institute for Standars and Technology) en su conferencia: “Integrando la ciberseguridad en la gestión de riesgo de la cadena de suministro” indicó que el 80% de las vulnerabilidades de la información se originan en la cadena de suministro, las causas relacionadas fueron: en un 72% porque las empresas no tienen visibilidad completa en sus cadenas y en un 59% porque las empresas no cuenta con un proceso para evaluar la ciberseguridad de los terceros con los que comparten datos o redes.

A nivel laboral el teletrabajo será cada vez más normalizado en las organizaciones que no pueden parar sus actividades comerciales y que al mismo tiempo deben acogerse a las medidas de aislamiento que implementa cada gobierno, sin embargo ¿los controles físicos que tiene su empresa actualmente son comparables con los controles y protocolos de seguridad digital?; los equipos que usan sus asociados están cobijados con políticas de seguridad claras, como por ejemplo cifrados, folders compartidos, antivirus, puertos USB bloqueados o algo más sencillo como lo son los accesos remoto? En escenarios cómo estos es donde las buenas prácticas para la gestión de seguridad en TI adquieren un papel importante.

Para poder aplicar mejores prácticas relacionadas con la seguridad informática asociada a su cadena de abastecimiento lo primero que debe hacer es identificar cuáles son sus riesgos, el NIST en su informe “Best Practices in Cyber Supply Chain Risk

Management” indica que los principales riesgos a los que puede estar expuestas las empresas son:

  1. Proveedores de servicios externos con acceso a la IP.
  2. Malas prácticas de seguridad de la información por parte de proveedores / socios
  3. Software o hardware comprometido comprado a terceros
  4. Vulnerabilidades de seguridad de software en la gestión de la cadena de suministro
  5. Almacenamiento de datos de terceros.

 

Para identificar cuáles son los riesgos que puede afrontar su cadena de abastecimiento, el primer paso es detectar y reconocer esas vulnerabilidades a las que están expuestos por parte de terceros (proveedores directos e indirectos, clientes, partners, socios, etc), posteriormente para cada tercero debe identificar cuáles son los canales de comunicación y los sistemas a los que tienen acceso para entender el nivel de riesgo que puede presentar cada uno. A continuación mencionaremos algunas de las preguntas que usted debería formularse con el fin de facilitar la creación de un mapa de riesgo para compañía:

  • Está documentado el diseño del software / hadware del proveedor?
  • Existen acuerdos de confidencialidad vigentes y claros para las partes?
  • Cuál es el respaldo y la capacidad de respuesta que tienen los proveedores por ejemplo ante situaciones de vulnerabilidad?
  • Los software se mantienen constantemente actualizados?
  • Que niveles de protección y detección de malware realizan?
  • Como se destruyen los datos cuando se disuelve una sociedad?
  • Cuáles son las garantías de seguridad que otorgan los actores identificados con relación a sus sistemas?

Una vez construido el mapa de riesgo, es primordial conocer y aplicar todos los lineamientos, políticas y estándares disponibles de instituciones como la (ISO) International Standard Organization o la (CCTA) Central Computer and Telecommunications Agency, quienes han documentado a través de la norma (ISO/IEC 27032:2012) e ITIL v4 respectivamente, las mejores prácticas enmarcadas en 4 tipos de controles para la ciberprotección, controles a nivel de aplicación, protección del servidor, controles para los usuarios finales y controles contra los ataques de ingeniería social.

Finalmente, de acuerdo a los datos expuestos anteriormente, los cambios que empezaran a regir a nivel mundial tras el covid-19 y los riesgos cibernéticos asociados a la cadena de suministro, muchas empresas no están preparadas para mitigar ni gestionar esta situación porque desconocen las vulnerabilidades de sus proveedores, socios y clientes. De ahí la importancia de que las áreas de tecnología de las compañías estén involucradas en las decisiones y procesos de la cadena de suministro ya que son ellos quienes puedan velar por la seguridad informática en la organización.

Fuentes:
Best Practices in Cyber Supply Chain Risk Management
Universidad Piloto de Colombia. Díaz Bermúdez. Riesgos cibernéticos en la cadena de suministro.
ISO, COBIT e ITIL, ¿cuál de estas normas y estándares internacionales te conviene más para potenciar tu empresa?

 

Por :Erick Bonilla, Consultor de Desarrollo y Aplicaciones

 

Artículos recomendados

¿Puede la tecnología Blockchain Aumentar la Visibilidad en las Cadenas de Abastecimiento?

Funcionalidades de un WMS de Talla Mundial