Actores críticos
Las cadenas de suministros se han alzado como uno de los principales riesgos que presentan las compañías de tecnología. No debería ser necesario recordar los ciberataques sufridos por empresas como Solarwinds o Com100 que desencadenaron todo un conjunto de problemas de seguridad a otras compañías que habían adquirido sus productos.
De forma análoga, hace apenas unos meses, se conoció que fallos en una aplicación de Trading Technologies generó problemas de seguridad a una aplicación de otro proveedor, 3CX, y con ello debilitó la posición de seguridad de numerosas entidades que hacían uso de su software.
Según algunos estudios, el 80% de las empresas que gestionan a múltiples proveedores han sufrido algún tipo de ciberataque a través de su cadena de suministros.
El porcentaje parece elevado, pero lo llamativo del dato es que los mismos estudios indican que apenas un 23% de esas compañías supervisan a sus proveedores, lo que deja un gran número de entidades sin un verdadero control sobre las actividades que llevan a cabo sus suministradores.
99% de PYMES en Europa
Las PYMES a menudo tienen entre sus principales clientes a grandes compañías o incluso a clientes finales. En ocasiones también cuentan con otras PYMES que actúan como proveedores dentro de sus propias cadenas de suministros.
De este modo, y en general, las PYMES tienden a formar parte de cadenas de producción jugando un papel ciertamente relevante; más relevante aún del que algunos imaginan.
Cualquier fallo de seguridad en sus actividades puede producir un efecto en cadena que lleve al traste el suministro final. No en vano, los fallos de seguridad en los eslabones más pequeños o vulnerables de esa cadena son los que dan lugar a los mayores problemas en la entrega o distribución final de un producto.
Este modelo de colaboración hace que las PYMES se conviertan en objetivos estratégicos de los ciberdelincuentes, particularmente en Europa donde representan el 99% del tejido empresarial.
Dependencia de la tecnología
Con la transformación digital, se puede decir que el problema se ha acentuado. Las compañías que participan del modelo de colaboración basado en cadenas de suministros se han hecho fuertemente dependientes de Internet y de las infraestructuras tecnológicas que lo soportan.
A través de la tecnología, las empresas tratan de mejorar su eficiencia, aunque al mismo tiempo se exponen a sufrir numerosos ciberataques.
Vulnerabilidades en los equipos informáticos, errores humanos, actos negligentes o simplemente engaños con ataques de phishing se han convertido en amenazas que pueden desencadenar toda una secuencia de acciones que alteren la operativa de una empresa.
Entre las consecuencias a las que se enfrentan estas empresas están la inhabilitación de sus equipos informáticos, el robo información confidencial o la suplantación de la identidad sus empleados o incluso de la propia compañía.
Debilidades detectadas por los ciberdelincuentes
Es evidente pues que el modelo de cadena de suministros hace que cada eslabón de la cadena se convierta en un elemento crítico para la generación y entrega de un producto o servicio final. Y las medidas de ciberseguridad se hacen indispensables.
Existen muchos factores que convierten a las pequeñas y medianas empresas en víctimas propicias para los ciberdelincuentes. Entre estos factores están aquellos ligados a su tamaño. Las PYMES a menudo tienen limitaciones en cuanto a experiencia tecnológica en ciberseguridad. Esto incluye la disponibilidad de recursos humanos cualificados, el acceso a financiación adecuada o la utilización de medios tecnológicos ajustados a las necesidades reales de los servicios que prestan, entre otros.
Asimismo, podríamos mencionar otro factor colateral, aunque no menos importante, como la exposición que tienen a ataques de ingeniería social. En las PYMES resulta rápido y sencillo acceder a los puestos de responsabilidad de la compañía; incluso la multiplicidad de roles que puede tener una misma persona hace que la información de diferentes departamentos sea fácilmente accesible a los ciberdelincuentes en sus habituales movimientos laterales.
Por último, y no menos importante, está el uso de equipos personales (BYOD) o la compartición de dispositivos que es una práctica común en muchas PYMES. Práctica que conduce a importantes riesgos de seguridad.
Y qué decir de sus procedimientos de trabajo, basados en experiencias y prácticas personales más que en procesos perfectamente definidos.
Responsabilidad y diligencia
Obviamente, no podemos extrapolar todos estos factores al conjunto completo de las PYMES. Hay muchas pequeñas y medianas empresas que implementan medidas de ciberseguridad acorde a los servicios que prestan.
Sin embargo, si un proveedor atravesara por una de estas situaciones sería condición suficiente para que toda la cadena de suministros se viera completamente comprometida. Su explotación podría conducir a daños operacionales, financieros o incluso reputacionales que posteriormente serían muy difíciles de resolver. Por eso, abogamos por considerar a las PYMES como actores críticos de la cadena de suministros. Actores que deben actuar con la debida ciber-diligencia, velando por la ciberseguridad de las funciones que tienen encomendadas e implantando medidas que redunden en ella.
Nota: En la próxima entrada de este blog enumeraremos algunas medidas sencillas que All4Sec recomienda a las PYMES para desempeñar sus tareas como miembros de una cadena de suministros.