Cadena de suministro: Crónica de un ciberataque anunciado

Todos las empresas que utilizan tecnologías de la información necesariamente dependen de terceros en una larga cadena de suministro. Pero, ¿cuántas realmente consideran este factor cuando diseñan sus estrategias de negocio?

La respuesta es que muy pocas. Generalmente la cadena de suministro no está en el radar cuando se elabora el plan de ciberseguridad, las organizaciones se dan cuenta que es algo a considerar cuando tienen un incidente de seguridad por un proveedor se vió comprometido o cuando se realizan ejercicios de ciberseguridad ya sea una actividad de Red Team o un Ethical Hacking y se detectan vulnerabilidades en sistemas de terceros que comprometen también la infraestructura o información de la organización.

Es importante reflexionar sobre cuál es la superficie de ataque real de una organización considerando las relaciones que existen con terceros y cómo estos se integran para cumplir con el plan de ciberseguridad.

El desafío es complejo, porque hay un riesgo inherente en prácticamente todas las organizaciones que dependen de proveedores y tecnologías para lograr sus objetivos comerciales, principalmente porque las organizaciones externas tienen diferentes niveles y prácticas de ciberseguridad que no siempre pueden ser los adecuados. Para los cibercriminales el ataque a la cadena de suministro es ventajoso y muy atractivo, porque ofrece múltiples puertas de entrada para explotar y lanzar sus ciberataques exitosos, además de un alto retorno a su inversión y con mucho menor esfuerzo.

Las consecuencias de un ciberataque exitoso apuntando a una cadena de suministro van mucho más allá de las pérdidas financieras para las organizaciones afectadas, como la pérdida de la confianza de clientes y socios sobre las capacidades de proteger su infraestructura y datos, así como el daño reputacional, que pueden generar cuantiosas pérdidas y una serie de repercusiones legales.

Gartner predice que para el año 2025, el 45% de las organizaciones en todo el mundo habrá experimentado, al menos, un ataque a la cadena de suministros, lo que exige nuevos enfoques de seguridad en base a la segmentación de sus redes, la puntuación de los proveedores basado en riesgo y auditorías continuas con evidencias de la aplicación de controles y mejores prácticas de seguridad.

Ya no basta solo con invertir tiempo y recursos en la infraestructura de la propia organización, también es necesario poner atención en qué están haciendo las organizaciones con las que se interactúa porque se corre el riesgo de que un incidente de seguridad llegue o se propague por esa vía. Después de todo, aun cuando una  organización puede ser muy segura y tener controles muy robustos, siempre por más trillado que suene, será tan vulnerable como el eslabón más débil.

En ningún caso esto significa que la solución pasa por un enfoque de la ciberseguridad más rígido. De lo que realmente se trata es de adaptar el enfoque a los riesgos de mis proveedores, adoptar una estrategia que permita coordinar el uso de los recursos y herramientas disponibles, con una forma de trabajo para internalizar ese riesgo. Expresado de otro modo, si las proyecciones son ciertas y casi la mitad de las organizaciones del mundo enfrentarán un incidente por la cadena de suministros, lo que se necesita entonces es crear una gestión de la ciberseguridad resiliente en ese ámbito.

Tiene mucho sentido, entonces, que las organizaciones discutan en sus planes de ciberseguridad que sean extensivos a la relación con sus proveedores, sometiendo la viabilidad de un eventual intercambio a una evaluación de riesgos. Eso significa que las empresas deben ser más selectivas al escoger sus proveedores. Lo lógico es que si las organizaciones adoptan en su políticas esos requisitos, las organizaciones que están al otro lado de la exigencia tendrán un incentivo para mejorar sus posturas de ciberseguridad por razones de competitividad.

Si las organizaciones, especialmente las más grandes y las que serán identificadas como operadores críticos o de importancia vital en la legislación de ciberseguridad que aún se discute en el Congreso, están sometidas a estándares altos de ciberseguridad, éstas no podrán excusarse simplemente en la falla de ciberseguridad de un proveedor en caso de sufrir un incidente, porque interactuar con una organización riesgosa también es responsabilidad de la empresa, después de todo, fue su decisión seleccionar al proveedor.

La gobernanza de ciberseguridad de las empresas ya no puede ser pensada exclusivamente puertas adentro. Al igual que en la geopolítica, cuando se trata de la cadena de suministros, las organizaciones deben definir cómo se vinculan con otras, no solo en función de los beneficios que obtiene de un intercambio, sino de los riesgos en caso de que una de las partes se vea involucrada en un incidente de ciberseguridad.

La tarea es compleja, y por lo mismo, es importante también que se discuta a nivel de gobierno y parlamento el cómo se pueden crear incentivos para que ese intercambio pueda ser sostenibles entre las empresas y los proveedores, de tal manera que estos últimos sean capaces de mejorar su postura en ciberseguridad sin que, en ese intento, la ciberseguridad se convierta en un obstáculo para la existencia del negocio mismo.

Hoy somos más conscientes de que la superficie de amenaza en ciberseguridad no solo se limita a las empresas, sino que es extensiva a quienes suministran servicios a esas empresas y, por lo tanto, si ese tercero involucrado no protege sus sistemas, las empresas también podrían verse involucradas en un incidente informático. Por lo mismo, el riesgo de seguridad de la información en la cadena de suministro se está consolidando como una prioridad para las organizaciones.

Gracias al ritmo de la digitalización y la virtualización de procesos, y como consecuencia de la dependencia tecnológica,  la forma de abordar el riesgo en las organizaciones está cambiando.

A los riesgos conocidos en la cadena de suministro físico, como el robo en bodegas o el contrabando, se agregan otras modalidades más creativas en el mundo digital, como el ransomware, que hoy es uno de los ataques que mayor impacto genera y que no discrimina industria ni tamaño.