Seguridad empresarial Confiar ciegamente en sus socios y proveedores en su postura de seguridad no es sostenible: es hora de tomar el control mediante una gestión eficaz de riesgos de proveedores 25 de enero de 2024 • , 5 min. leer El mundo se basa en cadenas de suministro. Son el tejido conectivo que facilita el comercio y la prosperidad globales. Pero estas redes de empresas superpuestas e interrelacionadas son cada vez más complejas y opacas. La mayoría involucra el suministro de software y servicios digitales, o al menos dependen de alguna manera de interacciones en línea. Eso los pone en riesgo de sufrir interrupciones y compromisos. Es posible que las PYMES en particular no estén buscando proactivamente o no tengan los recursos para gestionar la seguridad en sus cadenas de suministro. Pero confiar ciegamente en sus socios y proveedores en su postura de ciberseguridad no es sostenible en el clima actual. De hecho, ya es hora de tomar en serio la gestión del riesgo de la cadena de suministro. ¿Qué es el riesgo de la cadena de suministro? Los riesgos cibernéticos de la cadena de suministro podrían adoptar muchas formas, desde ransomware y robo de datos hasta denegación de servicio (DDoS) y fraude. Pueden afectar a los proveedores tradicionales, como las empresas de servicios profesionales (por ejemplo, abogados, contadores) o los proveedores de software empresarial. Los atacantes también pueden perseguir a los proveedores de servicios gestionados (MSP), porque al comprometer a una sola empresa de esta manera, podrían obtener acceso a una cantidad potencialmente grande de negocios de clientes posteriores. Una investigación del año pasado reveló que el 90% de los MSP sufrieron un ciberataque en los 18 meses anteriores. Éstos son algunos de los principales tipos de ciberataques a la cadena de suministro y cómo ocurren: Software propietario comprometido: los ciberdelincuentes son cada vez más audaces. En algunos casos, han podido encontrar una manera de comprometer a los desarrolladores de software e insertar malware en el código que posteriormente se entrega a los clientes posteriores. Esto es lo que sucedió en la campaña de ransomware Kaseya. En un caso más reciente, el popular software de transferencia de archivos MOVEit se vio comprometido por una vulnerabilidad de día cero y el robo de datos de cientos de usuarios corporativos, lo que afectó a millones de sus clientes. Mientras tanto, el compromiso del software de comunicación 3CX pasó a la historia como el primer incidente documentado públicamente de un ataque a la cadena de suministro que condujo a otro. Ataques a las cadenas de suministro de código abierto: la mayoría de los desarrolladores utilizan componentes de código abierto para acelerar el tiempo de comercialización de sus proyectos de software. Pero los actores de amenazas lo saben y han comenzado a insertar malware en componentes y a ponerlos a disposición en repositorios populares. Un informe afirma que ha habido un aumento interanual del 633% en este tipo de ataques. Los actores de amenazas también explotan rápidamente las vulnerabilidades en el código fuente abierto que algunos usuarios pueden tardar en parchear. Esto es lo que sucedió cuando se encontró un error crítico en una herramienta casi omnipresente conocida como Log4j. Suplantar a proveedores para cometer fraude: Los ataques sofisticados conocidos como compromiso de correo electrónico empresarial (BEC, por sus siglas en inglés) a veces involucran a estafadores que se hacen pasar por proveedores para engañar a un cliente y enviarle dinero. El atacante normalmente secuestrará una cuenta de correo electrónico que pertenezca a una de las partes, monitoreando los flujos de correo electrónico hasta que llegue el momento adecuado para intervenir y enviar una factura falsa con datos bancarios alterados. Robo de credenciales: los atacantes roban los inicios de sesión de los proveedores en un intento de violar al proveedor o a sus clientes (a cuyas redes pueden tener acceso). Esto es lo que sucedió en la violación masiva de Target en 2013, cuando los piratas informáticos robaron las credenciales de uno de los proveedores de HVAC del minorista. Robo de datos: muchos proveedores almacenan datos confidenciales sobre sus clientes, especialmente empresas como bufetes de abogados que tienen acceso a secretos corporativos íntimos. Representan un objetivo atractivo para los actores de amenazas que buscan información que puedan monetizar mediante extorsión u otros medios. ¿Cómo se evalúa y mitiga el riesgo de los proveedores? Cualquiera que sea el tipo de riesgo específico de la cadena de suministro, el resultado final podría ser el mismo: daños financieros y reputacionales y el riesgo de demandas, interrupciones operativas, pérdida de ventas y clientes enojados. Sin embargo, es posible gestionar estos riesgos siguiendo algunas de las mejores prácticas de la industria. Aquí hay ocho ideas: Llevar a cabo la debida diligencia con cualquier nuevo proveedor. Eso significa comprobar que su programa de seguridad se alinea con sus expectativas y que cuentan con medidas básicas para la protección, detección y respuesta a amenazas. Para los proveedores de software, también debería incluirse si cuentan con un programa de gestión de vulnerabilidades y cuál es su reputación con respecto a la calidad de sus productos. Gestionar los riesgos del código abierto. Esto podría significar el uso de herramientas de análisis de composición de software (SCA) para obtener visibilidad de los componentes del software, junto con un escaneo continuo en busca de vulnerabilidades y malware, y la rápida corrección de cualquier error. Asegúrese también de que los equipos de desarrolladores comprendan la importancia de la seguridad desde el diseño al desarrollar productos. Realizar una revisión de riesgos de todos los proveedores. Esto comienza con comprender quiénes son sus proveedores y luego verificar si cuentan con medidas de seguridad básicas. Esto debería extenderse a sus propias cadenas de suministro. Realice auditorías frecuentes y verifique la acreditación con los estándares y regulaciones de la industria cuando corresponda. Mantenga una lista de todos sus proveedores aprobados y actualícela periódicamente de acuerdo con los resultados de su auditoría. La auditoría y actualización periódica de la lista de proveedores permitirá a las organizaciones realizar evaluaciones de riesgos exhaustivas, identificar vulnerabilidades potenciales y garantizar que los proveedores cumplan con los estándares de ciberseguridad. Establecer una política formal para proveedores. Esto debe describir sus requisitos para mitigar el riesgo del proveedor, incluido cualquier SLA que deba cumplirse. Como tal, sirve como un documento fundamental que describe las expectativas, estándares y procedimientos que los proveedores deben cumplir para garantizar la seguridad de toda la cadena de suministro. Gestionar los riesgos de acceso de proveedores. Hacer cumplir el principio de privilegio mínimo entre los proveedores, si requieren acceso a la red corporativa. Esto podría implementarse como parte de un enfoque de Confianza Cero, donde todos los usuarios y dispositivos no son confiables hasta que se verifiquen, con autenticación continua y monitoreo de red agregando una capa adicional de mitigación de riesgos. Desarrollar un plan de respuesta a incidentes. En el peor de los casos, asegúrese de tener un plan bien ensayado a seguir para contener la amenaza antes de que tenga la posibilidad de afectar a la organización. Esto incluirá cómo comunicarse con los equipos que trabajan para sus proveedores. Considere implementar estándares de la industria. ISO 27001 e ISO 28000 tienen muchas formas útiles de lograr algunos de los pasos enumerados anteriormente para minimizar el riesgo del proveedor. Según un informe, el año pasado en Estados Unidos hubo un 40% más de ataques a la cadena de suministro que ataques basados ​​en malware. Dieron como resultado violaciones que afectaron a más de 10 millones de personas. Es hora de recuperar el control mediante una gestión de riesgos de proveedores más eficaz.