¿Qué es la seguridad de la cadena de suministro?

Muchos de nosotros en la cadena de suministro recordamos las principales filtraciones de datos que Target y Home Depot sufrieron con meses de diferencia como resultado de relaciones con terceros. Seis años después, las violaciones de seguridad de la cadena de suministro siguen ocupando titulares, en particular, la violación de SolarWinds que actualmente repercute en toda la industria. El análisis más reciente estima que el costo promedio de una filtración de datos es de 3.86 millones USD y las megafiltraciones (50 millones de registros o más robados) alcanzan los 392 millones USD. Dado el aumento de los ataques a la cadena de suministro en 2020, solo podemos imaginar el impacto que tendrá cuando se actualice el análisis.

Entonces, ¿qué se necesita para abordar la seguridad de la cadena de suministro?

Parte del reto radica en que no existe una definición única y funcional de la seguridad de la cadena de suministro. Es un área enormemente amplia que incluye todo, desde amenazas físicas hasta amenazas cibernéticas, desde la protección de transacciones hasta la protección de sistemas, y desde la mitigación del riesgo con partes en la red comercial inmediata hasta la mitigación del riesgo derivado de relaciones con terceros, cuartos y "n" partes. Sin embargo, cada vez hay más consenso en que la seguridad de la cadena de suministro requiere un enfoque multifacético y funcionalmente coordinado.

Los líderes de la cadena de suministro nos dicen que les preocupan las amenazas cibernéticas, por lo que en este blog nos centraremos en los aspectos de ciberseguridad para proteger la calidad y la entrega de productos y servicios, y los datos, procesos y sistemas asociados involucrados.

La seguridad de la cadena de suministro es un problema multidisciplinario y requiere una estrecha colaboración y ejecución entre las organizaciones empresariales, de atención al cliente y de TI, lo que plantea sus propios retos. Las empresas que lo hacen bien comienzan con TI y una red empresarial segura multiempresa, luego avanzan con un acceso cuidadosamente gobernado y seguro a las capacidades de analytics y visibilidad y, a partir de ahí, monitorean continuamente cada capa en busca de comportamientos anómalos”.

Marshall Lamb, Director de Tecnología, IBM Sterling

¿Por qué es importante la seguridad de la cadena de suministro?

Las cadenas de suministro se centran en conseguir a los clientes lo que necesitan al precio, lugar y momento adecuados. Cualquier interrupción y riesgo para la integridad de los productos o servicios que se entregan, la privacidad de los datos intercambiados y la integridad de las transacciones asociadas pueden tener consecuencias operativas, financieras y de marca perjudiciales. Las filtraciones de datos, los ataques de ransomware y las actividades maliciosas de usuarios internos o atacantes pueden ocurrir en cualquier nivel de la cadena de suministro. Incluso un incidente de seguridad localizado en un único proveedor o en un tercero puede perturbar significativamente el proceso de “planear, fabricar y entregar”.

“Una cadena de suministro es tan fuerte como su entidad más vulnerable. El Centro de Resiliencia Cibernética del Puerto de Los Ángeles ayudará a cada miembro participante de la cadena de suministro a protegerse mejor a sí mismo y, por extensión, a los demás”.

Wendi Whitmore, vicepresidenta, IBM Security X-Force

Mitigar este riesgo es un objetivo móvil y un desafío creciente. Las cadenas de suministro son redes globales cada vez más complejas compuestas por volúmenes grandes y crecientes de socios externos que necesitan acceso a datos y garantías de que pueden controlar quién ve esos datos. Hoy en día, el nuevo estrés y las limitaciones en el personal y el presupuesto, y los rápidos cambios imprevistos en la estrategia, los socios y la mezcla de oferta y demanda, añaden más desafíos y urgencia. Al mismo tiempo, los clientes y empleados con más conocimientos y conciencia social exigen transparencia y visibilidad de los productos y servicios que compran o respaldan. Cada punto de contacto agrega un elemento de riesgo que debe evaluarse, gestionarse y mitigarse.

Las 5 principales preocupaciones en materia de seguridad de la cadena de suministro

Los líderes de la cadena de suministro de todo el mundo y de todas las industrias nos dicen que estas cinco preocupaciones de seguridad de la cadena de suministro los mantienen despiertos por la noche:

1. Protección de datos. Los datos están en el centro de las transacciones comerciales y deben protegerse y controlarse en reposo y en movimiento para evitar filtraciones y manipulaciones. El intercambio seguro de datos también implica confiar en la otra fuente, ya sea un tercero o un sitio web de comercio electrónico. Tener garantías de que la parte con la que está interactuando es quien dice ser es vital.
2. Localidad de los datos. Existen datos críticos en todos los niveles de la cadena de suministro, y deben localizarse, clasificarse y protegerse independientemente de dónde se encuentren. En industrias altamente reguladas, como los servicios financieros y la atención médica, los datos deben adquirirse, almacenarse, gestionarse, utilizarse e intercambiarse de conformidad con los estándares de la industria y los mandatos del gobierno que varían según las regiones en las que operan.
3. Visibilidad y gobernanza de datos. Las redes empresariales multiempresariales no solo facilitan el intercambio de datos entre empresas, sino que también permiten que varias empresas accedan a los datos para que puedan ver, compartir y colaborar. Las empresas participantes exigen control sobre los datos y la capacidad de decidir con quién compartirlos y qué puede ver cada parte autorizada.
4. Prevención del fraude. En un solo ciclo de pedido a cobro, los datos cambian de manos varias veces, a veces en formato impreso y a veces electrónico. Cada punto en el que se intercambian datos entre partes o se trasladan dentro de los sistemas presenta una oportunidad para que sean manipulados, de forma maliciosa o involuntaria.
5. Riesgo de terceros. Los productos y servicios cotidianos (desde teléfonos celulares hasta automóviles) están aumentando en sofisticación. Como resultado, las cadenas de suministro suelen depender de cuatro o más niveles de proveedores para entregar los productos terminados. Cada una de estas partes externas puede exponer a las organizaciones a nuevos riesgos en función de su capacidad para gestionar adecuadamente sus propias vulnerabilidades.

Mejores prácticas de seguridad en la cadena de suministro

La seguridad de la cadena de suministro requiere un enfoque multifacético. No existe una panacea, pero las organizaciones pueden proteger sus cadenas de suministro con una combinación de defensas en capas. A medida que los equipos centrados en la seguridad de la cadena de suministro dificultan que los actores de amenazas gestionen el proceso de control de seguridad, ganan más tiempo para detectar actividad nefasta y actuar. Estas son solo algunas de las estrategias más importantes que están aplicando las organizaciones para gestionar y mitigar los riesgos de seguridad de la cadena de suministro.

• Evaluaciones de estrategias de seguridad. Para evaluar riesgos y cumplimiento, es necesario evaluar la gobernanza de seguridad existente (incluyendo la privacidad de datos, los riesgos de terceros y las necesidades y carencias de cumplimiento normativo de TI) frente a los desafíos, requisitos y objetivos empresariales. La cuantificación de riesgos de seguridad, el desarrollo de programas de seguridad, el cumplimiento normativo y de estándares, y la educación y capacitación en seguridad son clave.
• Mitigación de vulnerabilidades y pruebas de penetración. Identifique primero los problemas básicos de seguridad mediante la ejecución de análisis de vulnerabilidades. Arreglar configuraciones de bases de datos incorrectas, políticas de contraseñas deficientes, eliminar contraseñas predeterminadas y proteger los endpoints y las redes puede reducir inmediatamente el riesgo con un impacto mínimo en la productividad o el tiempo de inactividad. Contrata especialistas en pruebas de inserción para intentar encontrar vulnerabilidades en todos los aspectos de aplicaciones nuevas y antiguas, infraestructuras TI subyacentes a la cadena de suministro e incluso personas, mediante simulación de phishing y red teaming.
• Digitalización y modernización. Es difícil proteger los datos si depende del papel, el teléfono, el fax y el correo electrónico para las transacciones comerciales. La digitalización de los procesos manuales esenciales es clave. Las soluciones de tecnología que facilitan el cambio de procesos manuales en papel y aportan seguridad, fiabilidad y gobernanza a las transacciones, proporcionan la base para un movimiento seguro de datos dentro de la empresa y con clientes y socios comerciales. A medida que moderniza los procesos de negocio y el software, puede usar el cifrado, la tokenización, la prevención de pérdida de datos y el monitoreo y alertas de acceso a archivos, y traer equipos y socios junto con concientización y capacitación en seguridad.
• Identificación y cifrado de datos. Los programas y políticas de protección de datos deben incluir el uso de herramientas de detección y clasificación para identificar las bases de datos y los archivos que contienen información protegida de los clientes, datos financieros y registros privados. Una vez localizados los datos, el uso de los últimos estándares y políticas de cifrado protege los datos de todo tipo, en reposo y en movimiento: clientes, finanzas, pedidos, inventario, Internet de las cosas (IoT), estado y más. Las conexiones entrantes se validan y el contenido de los archivos se analiza en tiempo real. Las firmas digitales, la autenticación multifactor y las interrupciones de sesión ofrecen controles adicionales al realizar transacciones a través de Internet.
• Controles autorizados para el intercambio de datos y la visibilidad. Las redes empresariales multiempresa garantizan un intercambio de información seguro y confiable entre socios estratégicos con herramientas de acceso basadas en usuarios y roles. Las prácticas de seguridad de gestión de identidad y acceso son críticas para compartir de forma segura datos patentados y confidenciales en un amplio ecosistema, mientras que encontrar y mitigar vulnerabilidades reduce el riesgo de acceso indebido y filtraciones. La supervisión de la actividad de la base de datos, la supervisión de usuarios privilegiados y las alertas proporcionan visibilidad para detectar problemas rápidamente. Agregar tecnología blockchain a una red comercial multiempresarial proporciona visibilidad multipartita de un registro compartido autorizado e inmutable que alimenta la confianza en toda la cadena de valor.
• Confianza, transparencia y procedencia. Con una plataforma de blockchain, una vez que los datos se agregan al libro mayor, no se pueden manipular, cambiar ni eliminar, lo que ayuda a prevenir el fraude y autenticar la procedencia y monitorear la calidad del producto. Los participantes de múltiples empresas pueden rastrear materiales y productos desde el origen hasta el cliente final o consumidor. Todos los datos se almacenan en libros de contabilidad de blockchain, protegidos con el más alto nivel de cifrado a prueba de manipulaciones disponible en el mercado.
• Gestión de riesgos de terceros. A medida que aumentan las conexiones y las interdependencias entre las empresas y terceros en todo el ecosistema de la cadena de suministro, las organizaciones deben ampliar su definición de gestión de riesgos de proveedores para incluir la seguridad integral. permite a las empresas evaluar, mejorar, monitorear y gestionar el riesgo a lo largo de la vida de la relación. Comience por reunir a sus propios equipos comerciales y técnicos con socios y proveedores para identificar activos críticos y posibles daños a las operaciones comerciales en caso de una violación del cumplimiento, un apagado del sistema o una filtración de datos que se haga pública.
• Planificación y orquestación de respuesta a incidentes. Es vital prepararse proactivamente para una filtración, cierre o interrupción, y contar con un plan sólido de respuesta a incidentes. Los planes de respuesta y corrección practicados, probados y fácilmente ejecutados evitan la pérdida de ingresos, el daño a la reputación y la rotación de socios y clientes. La inteligencia y los planes proporcionan métricas y aprendizajes que su organización y sus socios pueden utilizar para tomar decisiones para evitar que vuelvan a ocurrir ataques o incidentes.

La seguridad de la cadena de suministro continuará siendo aún más inteligente. Por ejemplo, las soluciones están comenzando a incorporar IA para detectar de manera proactiva comportamientos sospechosos mediante la identificación de anomalías, patrones y tendencias que sugieren un acceso no autorizado. Las soluciones impulsadas por IA pueden enviar alertas para la respuesta humana o bloquear automáticamente los intentos.

¿Cómo garantizan las empresas la seguridad de la cadena de suministro hoy en día?

IBM Sterling Supply Chain Business Network estableció un nuevo récord en transacciones comerciales seguras en septiembre de este año, un 29 % más que en septiembre de 2019, y está ayudando a los clientes de todo el mundo a reconstruir su negocio con seguridad y confianza a pesar de la pandemia global.

El proveedor internacional de servicios de transferencia de dinero Western Union completó más de 800 000 millones de transacciones en 2018 para clientes particulares y empresas de forma rápida, confiable y segura con una infraestructura de transferencia de archivos confiable.

La minorista de moda Eileen Fisher utilizó una plataforma de cumplimiento omnicanal inteligente para construir un único grupo de inventario en todos los canales, mejorando la confianza en los datos de inventario, ejecutando un cumplimiento más flexible y reduciendo los costos de adquisición de clientes.

El ecosistema blockchain Farmer Connect conecta de forma transparente a los productores de café con los consumidores a los que atienden, con una blockchain platform que incorpora seguridad de red y datos para aumentar la confianza, la seguridad y la procedencia.

El proveedor de servicios financieros Rosenthal & Rosenthal reemplazó sus múltiples enfoques de servicios de intercambio electrónico de datos (EDI) con una red empresarial segura y multiempresa basada en la nube que reduce sus costos operativos y, al mismo tiempo, brinda un servicio receptivo y de alta calidad a cada cliente.

El proveedor de logística integrada VLI cumple con innumerables regulaciones de cumplimiento y seguridad de gobierno, y permite a sus 9,000 trabajadores acceder a los sistemas correctos en el momento adecuado para hacer su trabajo, con una suite de soluciones de seguridad que protegen su negocio y sus activos y administran el acceso de los usuarios.

Uno de los puertos marítimos más concurridos del mundo Puerto de Los Ángeles está construyendo un primer Centro de Resiliencia Cibernética con una suite de ofertas de seguridad destinadas a mejorar la concientización y la preparación de su ecosistema de cadena de suministro para responder a las amenazas cibernéticas que podrían interrumpir el flujo de carga.

Soluciones para mantener segura su cadena de suministro

Mantenga sus datos más confidenciales seguros, visibles solo para aquellos en los que confía, inmutables para evitar el fraude y protegidos del riesgo de terceros. Deje que IBM le ayude a proteger su cadena de suministro, con una seguridad probada en batalla que funciona independientemente de su enfoque de implementación: on premises, en la nube o híbrida.