Es necesario elegir proveedores con formación en ciberseguridad
Todos sabemos lo valioso que puede ser un proveedor, de bienes o servicios, con el que se tenga una relación de confianza consolidada. Es un principio válido en nuestro día a día y aún más en la actividad laboral y en la organización de una empresa.
Ahora vivimos en un mundo globalizado en el que las empresas, incluidas las pymes, operan internacionalmente y han adoptado políticas de aprovisionamiento global para encontrar en todo el mundo a los proveedores capaces de ofrecerles un precio más ventajoso y de garantizarles el ahorro necesario para el negocio de la empresa. Por tanto, se han delegado partes cada vez mayores de las actividades en proveedores que pueden estar incluso muy lejos.
Hablamos de las cadenas de suministro, del «supply chain», es decir, del proceso que lleva, a través de varias etapas, un producto o servicio del proveedor al cliente final.
Se trata de un proceso complejo en el que participan varias figuras profesionales y que activa varios procesos del ecosistema-empresa: desde las materias primas hasta la logística. Sin embargo, el concepto también puede referirse a los aspectos de coordinación gerencial que sirven para optimizar cada uno de los eslabones de la cadena. En este caso, al hablar del «supply chain management», nos referimos al conjunto de elementos que hacen posible el desarrollo de las fases anteriores.
En el mercado global, el eslabón débil sigue siendo el factor humano
Todo esto, como explicábamos, ha adquirido, con la globalización de los mercados, la intensificación de los flujos de las materias primas y el advenimiento del comercio electrónico, un valor muy diferente y una complejidad mucho mayor a los de hace unos años.
Estos procesos globales han alargado las cadenas de suministro, lo que las hace menos controlables y aumenta la dependencia de empresas de infraestructuras a veces poco conocidas y potencialmente críticas. En una cadena difícil de controlar, el eslabón débil puede esconderse en cualquier lugar, incluido el factor humano. Prueba de ello es que los ataques cibernéticos son cada vez más frecuentes y cada vez más dañinos.
Es un hecho que los daños cibernéticos para las empresas están aumentando. La Agencia de la Unión Europea para la Ciberseguridad (ENISA por sus siglas en inglés) también nos advierte de ello en su informe Threat Landscape for Supply Chain Attacks, en el que informa de una serie de 24 incidentes que afectaron a las cadenas de suministro entre enero de 2020 y principios de julio de 2021.
Según el estudio, por las tendencias y los patrones observados, los ataques a las cadenas de suministro aumentaron y se sofisticaron en el año 2020. Esta tendencia continuó en 2021 y, en los primeros 6 meses, se vio cómo los ataques se multiplicaban por cuatro con respecto a 2020.
Entre los distintos vectores de ataque más utilizados, se encuentran: infección con malware, ingeniería social («phishing»), ataque de fuerza bruta y explotación de vulnerabilidades de software. Independientemente de la técnica de ataque utilizada, el objetivo siempre es conseguir acceder a:
- Datos del cliente (58 %).
- Personas clave (16 %).
- Recursos financieros (8 %).
¿Reemplazar proveedores de confianza por otros desconocidos?
Entre los factores que han contribuido a aumentar los riesgos cibernéticos, sin duda está la crisis causada por la pandemia. Debido a la pandemia, ha aumentado en gran medida el uso de la red, no solo con fines laborales («smart working»), sino también para posibilitar el comercio electrónico. Todo esto, sin duda, ha contribuido a aumentar la superficie de ataque.
La pandemia también ha generado, en todo el mundo, un grave problema de suministros, que aún no se ha solventado del todo y que ha llevado a sustituir proveedores de confianza por otros desconocidos. Tanto es así que, según un estudio encargado por Reichelt Elektronik al centro de investigación OnePoll realizado durante el mes de enero de 2022, con una muestra de 250 tomadores de decisiones de TI del sector manufacturero italiano, solo el 62% de los encuestados en Italia siguen confiando en una posible reactivación de la cadena de suministro.
Según el estudio, desde el primer semestre de 2021 hasta la fecha, el aumento de las paradas de producción en los últimos doce meses ha sido del 20 %, con una media total de aproximadamente 44,2 días, debido a los retrasos y las ralentizaciones a lo largo de la cadena de suministro.
Una parada que pocos pueden permitirse y que ha desencadenado, en la mayoría de las empresas afectadas, la búsqueda de nuevos proveedores.
Se buscan nuevos proveedores, pero certificados
Ya sabemos lo peligroso que es hacer oídos sordos al dicho «más vale lo malo conocido que lo bueno por conocer». Así, al añadir nuevos contactos, es decir, nuevos eslabones, a la cadena, se han incrementado los riesgos de introducir vulnerabilidades en las distintas etapas de la producción. En resumen, cuando se debe decidir rápidamente entre «tomar o dejar», lo primero que se pierde es la seguridad. Y ya sabemos todos lo arriesgado que es esto.
Una sola vulnerabilidad no gestionada, un solo eslabón débil, es suficiente para hacer saltar toda la cadena por los aires y poner en riesgo a todas las empresas involucradas.
Por tanto, para mitigar estos riesgos, es necesario elegir socios de confianza y valorar al proveedor en su conjunto. Existen criterios consolidados a la hora de decidir: el coste, la calidad, las referencias, la reputación y los estándares éticos, y el servicio al cliente.
Sin embargo, hay un criterio que hay que priorizar y que hoy es imprescindible. Hay que comprobar que los proveedores de toda la cadena de suministro cuenten con formación apropiada sobre concienciación sobre ciberseguridad, además de asegurarse de que dicha formación esté certificada, a ser posible.
Si tenemos en cuenta que el 90 % de los ataques cibernéticos en el mundo se deben a un error humano y que los piratas informáticos se aprovechan de los eslabones débiles de la cadena, debemos asegurarnos de que todo el personal de los proveedores involucrados en la cadena de suministro sea capaz de gestionar los riesgos cibernéticos relacionados con el uso de las tecnologías digitales. Para asegurarnos, podemos comprobar la certificación obtenida por haber desarrollado la formación adecuada con los programas de preparación adecuados.
En resumen, por muy valioso que sea un proveedor, que cuente con formación demostrable y certificada sobre concienciación sobre ciberseguridad ya no es un mero detalle. Especialmente cuando la vulnerabilidad informática de alguien puede generar importantes daños económicos y comprometer los resultados de todo el mundo.
Más información sobre los itinerarios formativos de Cyber Guru