Cómo pueden las empresas proteger su cadena de suministro y sus proveedores

La ciberseguridad dentro de las empresas se ha convertido en algo core para el buen funcionamiento e incluso la supervivencia de estas, puesto que el número de ciberamenazas se prevé que siga creciendo en los próximos años.

El riesgo de sufrir un ciberataque es cada vez mayor, siendo España el tercer país más atractivo para los ciberdelincuentes. Tal es el punto que, en el último año, se produjeron 40.000 ciberataques diarios, según recoge Datos 101.

La cadena de suministro es una de las vías por las que más ciberataques entran en las compañías. Este riesgo, de hecho, llega incluso a triplicarse. El 90% reconoce estar muy preocupado por la protección de sus proveedores y de la cadena de suministro en general, incluso aunque no hayan sufrido ninguna intromisión, según datos del último estudio de PwC.

Por ello, resulta fundamental una completa involucración de cada miembro interno y externo de las compañías en el cumplimiento de la política de ciberseguridad empresarial.

“Proteger la cadena de suministro es clave para no sufrir un ciberataque que ponga en jaque el buen funcionamiento e integridad empresarial. Para ello, identificar lo que se quiere proteger, los riesgos de los diferentes proveedores y con qué procesos y metodologías se pueden abordar dichos riesgos, es fundamental”, explica Rosario Piazza, CEO de Fullstep.

“Esta evaluación e identificación debe ser continua y constante para ayudar a que el proceso tenga buenos resultados”, aconseja el responsable de esta compañía especializada en la digitalización end-to-end del proceso de compras, aprovisionamiento y cadena de suministro.

Las pymes pueden ser el eslabón más débil

Las pymes sería las grandes perjudicadas en materia de seguridad. De hecho, el 37% de las pequeñas y medianas empresas sufrió este tipo de ciberataque en el último año según datos de PwC.

La interrupción del servicio al cliente, el debilitamiento del buen funcionamiento y la confianza, la pérdida de ventaja competitiva, el robo de datos, o el paro de abastecimiento son algunas de las grandes consecuencias del ataque a estos players.

“Los ciberdelincuentes para atacar a las grandes empresas, lo hacen a través de sus ‘partners de confianza’, normalmente pymes. Muchas de estas empresas no se encuentran correctamente protegidas ni le dan la importancia necesaria, ya que ven las posibles amenazas de ciberespionaje y ciberterrorismo como algo que sólo afecta a los países y las grandes multinacionales“, asegura Piazza.

“Esto es un grave error. Esta falsa sensación de seguridad puede provocar que tengan una actitud demasiado relajada hacia la protección de sus sistemas y datos, lo que las convierte en un player clave para los ciberdelincuentes”, apostilla el mandamás de Fullstep.

Consejos en la gestión de proveedores en materia de ciberseguridad

Los expertos de Fullstep ofrecen una serie de recomendaciones que deberían seguir las empresas para prevenir los ataques en torno a la cadena de suministro:

• 1. Analizar la complejidad de la gestión de riesgos. Es recomendable hacerlo a través de un proceso de 3 fases clave: la primera, el diseño del modelo de gestión para identificar las categorías de suministro, el mapa de posibles riesgos y su nivel de criticidad en cuanto a probabilidad de ocurrencia, dificultad de detección y nivel de gravedad. En segundo lugar, la gestión operativa de este modelo. Y, por último, el control y mejora continua del proceso.
• 2. Establecer criterios de la categorización de riesgos. Una función optimizada de compras debe establecer un sistema para identificar y gestionar adecuadamente los riesgos en toda la cadena de valor. Tener previsto un riesgo y contar con un paliativo para éste, puede suponer una enorme ventaja para la empresa frente a quienes no lo hayan hecho. “Este ejercicio proactivo y su adecuada implantación con un sistema óptimo de vigilancia, incorporando tecnología al modelo para incrementar la eficiencia y seguridad, es el camino para recuperar el control de todo lo que, por ser externo a la organización, parece inabarcable”, explica Rosario Piazza, CEO de Fullstep.
• 3. Contar con herramientas de rating y análisis de seguridad en tiempo real. Estos sistemas ayudan a gestionar en real time la ciberseguridad de la cadena de suministro. De esta forma, las compañías pueden identificar y reducir el riesgo tanto en la propia organización como en los ecosistemas de terceros. Asimismo, ayuda a contar con una visión 360º del ciclo de vida de los proveedores, mejorando la eficacia de las empresas en esta área. “En todo momento se debe buscar la alineación de los proveedores con la seguridad de las empresas para conseguir reducir el ciberiesgo”, comenta Piazza.
• 4. Cumplir con los estándares y normativas de seguridad. Las empresas deben cumplir, y exigir a su vez, el cumplimiento de las normativas de seguridad a los proveedores, como por ejemplo el CISM (Certified Information Security Manager), CEH (Certified Ethical Hacker), CRISC (Certified in Risk and Information Security Control), CISSP (Certified Information Systems Security Professional), (Certified Cloud Security Professional) entre otros.
• 5. Compromiso y formación del equipo. Para un correcto control y protección, es necesario formar a los empleados, ya que son la última línea de defensa, y al igual que las PYMES, suelen ser uno de los grandes focos por los que atacar. Establecer una cultura digital, con compromiso, con un exhaustivo control de accesos, es clave para evitar amenazas.