¿Qué es la seguridad de la cadena de suministro?

Muchos de nosotros en la cadena de suministro recordamos las principales vulneraciones de datos que Target y Home Depot sufrieron con meses de diferencia como resultado de las relaciones con terceros. Seis años después, las violaciones de seguridad de la cadena de suministro siguen ocupando titulares, en particular, la violación de SolarWinds que actualmente repercute en todo el sector. El análisis más reciente estima que el coste medio de una vulneración de datos es de 3,86 millones de dólares, y las megavulneraciones (50 millones de registros o más robados) alcanzan los 392 millones de dólares. Dado el aumento de los ataques a la cadena de suministro en 2020, solo podremos imaginar el impacto cuando se actualice el análisis.

Entonces, ¿qué se necesita para abordar la seguridad de la cadena de suministro?

Parte del reto es que no existe una definición única y funcional de la seguridad de la cadena de suministro. Es un área enormemente amplia que incluye todo, desde las amenazas físicas hasta las ciberamenazas, desde la protección de las transacciones hasta la protección de los sistemas, y desde la mitigación del riesgo con las partes de la red empresarial inmediata hasta la mitigación del riesgo derivado de las relaciones con terceros, cuartos y "n". Sin embargo, existe un acuerdo cada vez mayor en que la seguridad de la cadena de suministro requiere un enfoque multifacético y funcionalmente coordinado.

Los líderes de la cadena de suministro nos dicen que les preocupan las amenazas cibernéticas, por lo que en este blog nos vamos a centrar en los aspectos de ciberseguridad para proteger la calidad y entrega de productos y servicios, así como los datos, procesos y sistemas asociados.

"La seguridad de la cadena de suministro es un problema multidisciplinar y requiere una estrecha colaboración y ejecución entre las organizaciones empresariales, de atención al cliente y de TI, lo que tiene sus propios retos. Las empresas que lo consiguen empiezan con TI y una red empresarial multiempresa segura, y luego avanzan con un acceso cuidadosamente gobernado y seguro a las capacidades de analytics y visibilidad y, a partir de ahí, monitorizan continuamente cada capa en busca de comportamientos anómalos".

Marshall Lamb, director de tecnología, IBM Sterling

¿Por qué es importante la seguridad de la cadena de suministro?

Las cadenas de suministro se centran en conseguir a los clientes lo que necesitan al precio, lugar y momento adecuados. Cualquier interrupción y riesgo para la integridad de los productos o servicios que se entregan, la privacidad de los datos intercambiados y la integridad de las transacciones asociadas pueden tener consecuencias operativas, financieras y de marca perjudiciales. Las vulneraciones de datos, los ataques de ransomware y las actividades maliciosas de usuarios internos o atacantes pueden producirse en cualquier nivel de la cadena de suministro. Incluso un incidente de seguridad localizado en un único proveedor o en un tercero puede perturbar significativamente el proceso de “planificar, fabricar y entregar”.

"Una cadena de suministro es tan fuerte como su entidad más vulnerable. El Centro de ciberresiliencia del Puerto de Los Ángeles ayudará a cada miembro participante de la cadena de suministro a protegerse mejor y, por extensión, a protegerse mutuamente."

Wendi Whitmore, vicepresidenta de IBM Security X-Force

Mitigar este riesgo es un objetivo móvil y un desafío creciente. Las cadenas de suministro son redes globales cada vez más complejas compuestas por grandes y crecientes volúmenes de socios externos que necesitan acceso a los datos y garantías de que pueden controlar quién ve esos datos. Hoy, el nuevo estrés y las limitaciones sobre el personal y el presupuesto, así como los rápidos cambios imprevistos en la estrategia, los socios y la mezcla de oferta y demanda, añaden nuevos desafíos y urgencia. Al mismo tiempo, los clientes y empleados más informados y socialmente conscientes exigen transparencia y visibilidad de los productos y servicios que compran o respaldan. Cada punto de contacto añade un elemento de riesgo que debe evaluarse, gestionarse y mitigarse.

Las 5 principales preocupaciones sobre la seguridad de la cadena de suministro

Líderes de la cadena de suministro de todo el mundo y de diferentes sectores nos cuentan que estas cinco preocupaciones sobre la seguridad de la cadena de suministro les mantienen despiertos por las noches:

1. Protección de datos. Los datos están en el centro de las transacciones comerciales y deben protegerse y controlarse en reposo y en movimiento para evitar violaciones y manipulaciones. El intercambio seguro de datos también implica confiar en la otra fuente, ya sea un tercero o un sitio web de comercio electrónico. Tener garantías de que la parte con la que está interactuando es quien dice ser es vital.
2. Localidad de los datos. Los datos críticos existen en todos los niveles de la cadena de suministro y deben localizarse, clasificarse y protegerse independientemente de dónde se encuentren. En sectores altamente regulados como los servicios financieros y la atención sanitaria, los datos sanitarios deben adquirirse, almacenar, gestionarse, usarse e intercambiarse cumpliendo con los estándares del sector y los mandatos del gobierno que varían según las regiones en las que operen.
3. Visibilidad y gobierno de los datos. Las redes empresariales multiempresa no solo facilitan el intercambio de datos entre empresas, sino que también permiten que varias empresas accedan a los datos para que puedan ver, compartir y colaborar. Las empresas participantes exigen control sobre los datos y la capacidad de decidir con quién compartirlos y qué puede ver cada parte autorizada.
4. Prevención del fraude. En un solo ciclo del pedido al cobro, los datos cambian de manos numerosas veces, a veces en formato papel y a veces electrónico. Cada punto en el que los datos se intercambian entre las partes o se desplazan dentro de los sistemas presenta una oportunidad para que se manipulen, de forma maliciosa o inadvertida.
5. Riesgo de terceros. Los productos y servicios de uso diario, desde teléfonos móviles hasta automóviles, son cada vez más sofisticados. Como resultado, las cadenas de suministro a menudo dependen de cuatro o más niveles de proveedores para entregar los productos acabados. Cada una de estas partes externas puede exponer a las organizaciones a nuevos riesgos en función de su capacidad para gestionar adecuadamente sus propias vulnerabilidades.

Buenas prácticas de seguridad en la cadena de suministro

La seguridad de la cadena de suministro requiere un enfoque multifacético. No existe una única panacea, pero las organizaciones pueden proteger sus cadenas de suministro con una combinación de defensas en capas. A medida que los equipos centrados en la seguridad de la cadena de suministro dificultan que los actores de amenazas gestionen el proceso de control de seguridad, ganan más tiempo para detectar actividad nefasta y actuar. Estas son solo algunas de las estrategias más importantes que las organizaciones están siguiendo para gestionar y mitigar el riesgo de seguridad de la cadena de suministro.

• Evaluaciones de estrategias de seguridad. Para evaluar riesgos y cumplimiento, es necesario evaluar la gobernanza de seguridad existente (incluyendo la protección de datos, los riesgos de terceros y las necesidades y carencias de cumplimiento normativo de TI) frente a los desafíos, requisitos y objetivos empresariales. La cuantificación de los riesgos de seguridad, el desarrollo de programas de seguridad, el cumplimiento normativo y de estándares, y la educación y formación en seguridad son clave.
• Mitigación de vulnerabilidades y pruebas de penetración. Identifique primero los problemas de seguridad básicos realizando análisis de vulnerabilidades. Corregir configuraciones defectuosas de bases de datos, políticas de contraseñas deficientes, eliminar contraseñas predeterminadas y proteger endpoints y redes puede reducir el riesgo de forma inmediata con un impacto mínimo en la productividad o el tiempo de inactividad. Contrate a especialistas en pruebas de penetración para que intenten encontrar vulnerabilidades en todos los aspectos de las aplicaciones nuevas y antiguas, en la infraestructura informática subyacente a la cadena de suministro e incluso en las personas, mediante simulaciones de phishing y red teaming.
• Digitalización y modernización. Es difícil proteger los datos si depende del papel, el teléfono, el fax y el correo electrónico para las transacciones comerciales. La digitalización de los procesos manuales esenciales es clave. Las soluciones de tecnología que facilitan el cambio de procesos manuales en papel y aportan seguridad, fiabilidad y gobernanza a las transacciones, proporcionan la base para un movimiento seguro de datos dentro de la empresa y con clientes y socios comerciales. A medida que moderniza los procesos y el software empresarial, puede beneficiarse del cifrado, la tokenización, la prevención de pérdida de datos y la monitorización y alerta de acceso a archivos, y traer equipos y socios junto con la conciencia y formación en seguridad.
• Identificación y cifrado de datos. Los programas y políticas de protección de datos deben incluir el uso de herramientas de descubrimiento y clasificación para localizar bases de datos y archivos que contengan información protegida sobre clientes, datos financieros y registros de propiedad. Una vez localizados los datos, el uso de los últimos estándares y políticas de cifrado protege los datos de todo tipo, en reposo y en movimiento: clientes, financieros, pedidos, inventario, Internet de las cosas (IoT), salud y más. Las conexiones entrantes se validan y el contenido de los archivos se examina en tiempo real. Las firmas digitales, la autenticación multifactor y las interrupciones de sesión ofrecen controles adicionales al realizar transacciones a través de Internet.
• Controles autorizados para el intercambio de datos y la visibilidad. Las redes empresariales multiempresa garantizan un intercambio de información seguro y fiable entre socios estratégicos con herramientas de acceso basadas en usuarios y funciones. Las prácticas de seguridad en la gestión de identidades y accesos son críticas para compartir de forma segura datos propietarios y sensibles en un ecosistema amplio, mientras que encontrar y mitigar vulnerabilidades reduce el riesgo de accesos indebidos y brechas. La monitorización de la actividad de la base de datos, la monitorización de usuarios privilegiados y las alertas proporcionan visibilidad para detectar problemas rápidamente. La incorporación de la tecnología blockchain a una red empresarial multiempresarial proporciona visibilidad multipartita de un registro compartido autorizado e inmutable que alimenta la confianza en toda la cadena de valor.
• Confianza, transparencia y procedencia. Con una plataforma blockchain, una vez que los datos se agregan al libro mayor, no se pueden manipular, cambiar ni eliminar, lo que ayuda a prevenir el fraude y a autenticar la procedencia y monitorizar la calidad del producto. Los participantes de varias empresas pueden realizar un seguimiento de los materiales y productos desde el origen hasta el cliente final o el consumidor. Todos los datos se almacenan en libros de contabilidad de blockchain, protegidos con el más alto nivel de cifrado a prueba de manipulaciones disponible en el mercado.
• Gestión de riesgos de terceros. A medida que crecen las conexiones e interdependencias entre empresas y terceros en todo el ecosistema de la cadena de suministro, las organizaciones deben ampliar su definición de gestión de riesgos de proveedores para incluir la seguridad de extremo a extremo. permite a las empresas evaluar, mejorar, monitorizar y gestionar el riesgo a lo largo de la vida de la relación. Empiece por reunir a sus propios equipos empresariales y técnicos con socios y proveedores para identificar los activos críticos y los posibles daños a las operaciones empresariales en caso de que se produzca una infracción de la conformidad, un cierre del sistema o una vulneración de datos que se haga pública.
• Planificación y orquestación de la respuesta a incidentes. Es vital prepararse de forma proactiva para una brecha, un cierre o una interrupción, y contar con un sólido plan de respuesta a incidentes. Los planes de respuesta y corrección practicados, probados y de fácil ejecución evitan la pérdida de ingresos, el daño a la reputación y la pérdida de socios y clientes. La inteligencia y los planes proporcionan métricas y aprendizajes que su organización y sus socios pueden utilizar para tomar decisiones que eviten que los ataques o incidentes vuelvan a producirse.

La seguridad de la cadena de suministro Continuará a ser cada vez más inteligente. Por ejemplo, las soluciones están empezando a incorporar IA para detectar proactivamente comportamientos sospechosos mediante la identificación de anomalías, patrones y tendencias que sugieren accesos no autorizados. Las soluciones con IA pueden enviar alertas para una respuesta humana o bloquear automáticamente los intentos.

¿Cómo garantizan hoy las empresas la seguridad de la cadena de suministro?

IBM Sterling Supply Chain Business Network estableció un nuevo récord en transacciones comerciales seguras en septiembre de este año, un 29 % más que en septiembre de 2019, y está ayudando a clientes de todo el mundo a reconstruir sus negocios con seguridad y confianza a pesar de la pandemia mundial.

El proveedor internacional de servicios de transferencia de dinero Western Union completó más de 800 000 millones de transacciones en 2018 para clientes particulares y empresas de forma rápida, fiable y segura con una infraestructura de transferencia de archivos de confianza.

La minorista de moda Eileen Fisher utilizó una plataforma de gestión logística inteligente y omnicanal para crear un único conjunto de inventario en todos los canales, lo que mejoró la confianza en los datos de inventario, flexibilizó la gestión logística y redujo los costes de adquisición de clientes.

Ecosistema Blockchain Farmer Connect conecta de forma transparente a los productores de café con los consumidores a los que sirven, con una plataforma blockchain que incorpora seguridad de red y seguridad de datos para aumentar la confianza, la seguridad y la procedencia.

El proveedor de servicios financieros Rosenthal & Rosenthal sustituyó sus múltiples enfoques de los servicios de intercambio electrónico de datos (EDI) por una red empresarial multiempresarial segura y basada en la nube, lo que redujo sus costes operativos y, al mismo tiempo, ofreció un servicio rápido y de alta calidad a todos los clientes.

El proveedor de logística integrada VLI cumple con innumerables normas de cumplimiento y seguridad del gobierno, y permite a sus 9000 trabajadores acceder a los sistemas correctos en el momento adecuado para hacer su trabajo, con un conjunto integrado de soluciones de seguridad que protegen su negocio y sus activos y gestionan el acceso de los usuarios.

Uno de los puertos marítimos más transitados del mundo, el puerto de Los Ángeles, está construyendo el primer centro de ciberresiliencia de su tipo con un conjunto de ofertas de seguridad destinadas a mejorar la conciencia y la preparación del ecosistema de la cadena de suministro para responder a las ciberamenazas que podrían interrumpir el flujo de carga.

Soluciones para mantener segura su cadena de suministro

Mantenga sus datos más confidenciales seguros, visibles solo para aquellos en los que confía, inmutables para evitar el fraude y protegidos del riesgo de terceros. Deje que IBM le ayude a proteger su cadena de suministro, con una seguridad probada que funciona independientemente de su enfoque de implementación: en las instalaciones, en la nube o híbrido.