Seguridad negocio

Confiar ciegamente en sus socios y proveedores en su postura de seguridad no es sostenible: es hora de tomar el control mediante una gestión eficaz de los riesgos de los proveedores.

Phil Muncaster

25 de enero 2024
 • 
,
5 minuto. leer

El mundo se basa en cadenas de suministro. Son el tejido conectivo que facilita el comercio y la prosperidad globales. Pero estas redes de empresas superpuestas e interrelacionadas son cada vez más complejas y opacas. La mayoría implica el suministro de software y servicios digitales, o al menos dependen de alguna manera de las interacciones en línea. Eso los pone en riesgo de sufrir interrupciones y compromisos.

Es posible que las PYMES en particular no estén buscando proactivamente o no tengan los recursos para gestionar la seguridad en sus cadenas de suministro. Pero ciegamente confiar en sus socios y proveedores en su postura de ciberseguridad no es sostenible en el clima actual. De hecho, ya es hora de tomar en serio la gestión del riesgo de la cadena de suministro.

¿Qué es el riesgo de la cadena de suministro?

Los riesgos cibernéticos de la cadena de suministro podrían adoptar muchas formas, desde ransomware y desde robo de datos hasta denegación de servicio (DDoS) y fraude. Pueden afectar a los proveedores tradicionales, como las empresas de servicios profesionales (por ejemplo, abogados, contadores) o los proveedores de software empresarial. Los atacantes también pueden perseguir a los proveedores de servicios gestionados (MSP), porque al comprometer a una sola empresa de esta manera, podrían obtener acceso a una cantidad potencialmente grande de negocios de clientes posteriores. Investigación del año pasado reveló que el 90% de los MSP sufrieron un ciberataque en los 18 meses anteriores.

Estos son algunos de los principales tipos de ciberataques a la cadena de suministro y cómo ocurren:

• Software propietario comprometido: Los ciberdelincuentes son cada vez más audaces. En algunos casos, han podido encontrar una manera de comprometer a los desarrolladores de software e insertar malware en el código que posteriormente se entrega a los clientes posteriores. Esto es lo que pasó en el Campaña de ransomware Kaseya. En un caso más reciente, el popular software de transferencia de archivos MOVEit estaba comprometido por una vulnerabilidad de día cero y datos robados de cientos de usuarios corporativos, lo que afectó a millones de sus clientes. Mientras tanto, el compromiso del software de comunicación 3CX pasó a la historia como el primer incidente documentado públicamente en el que un ataque a la cadena de suministro condujo a otro.
• Ataques a cadenas de suministro de código abierto: La mayoría de los desarrolladores utilizan componentes de código abierto para acelerar el tiempo de comercialización de sus proyectos de software. Pero los actores de amenazas lo saben y han comenzado a insertar malware en componentes y a ponerlos a disposición en repositorios populares. Un informe afirma Ha habido un aumento interanual del 633% en este tipo de ataques. Los actores de amenazas también explotan rápidamente las vulnerabilidades en el código fuente abierto que algunos usuarios pueden tardar en parchear. Esto es lo que sucedió cuando se encontró un error crítico en una herramienta casi omnipresente conocido como Log4j.
• Suplantar proveedores para fraude: Ataques sofisticados conocidos como compromiso de correo electrónico comercial (BEC) a veces involucran a estafadores que se hacen pasar por proveedores para engañar a un cliente y enviarle dinero. El atacante normalmente secuestrará una cuenta de correo electrónico que pertenezca a una de las partes, monitoreando los flujos de correo electrónico hasta que sea el momento adecuado para intervenir y enviar una factura falsa con datos bancarios alterados.
• Robo de credenciales: Atacantes robar los inicios de sesión de proveedores en un intento de violar al proveedor o a sus clientes (a cuyas redes pueden tener acceso). Esto es lo que ocurrió en la violación masiva de Target en 2013, cuando Los piratas informáticos robaron las credenciales. de uno de los proveedores de HVAC del minorista.
• Robo de datos: Muchos proveedores almacenan datos confidenciales sobre sus clientes, especialmente empresas como bufetes de abogados que tienen acceso a secretos corporativos íntimos. Representan un objetivo atractivo para los actores de amenazas que buscan información que puedan monetizar mediante extorsión u otros medios

¿Cómo se evalúa y mitiga el riesgo de los proveedores?

Cualquiera que sea el tipo de riesgo específico de la cadena de suministro, el resultado final podría ser el mismo: daños financieros y reputacionales y el riesgo de demandas, interrupciones operativas, pérdida de ventas y clientes enojados. Sin embargo, es posible gestionar estos riesgos siguiendo algunas de las mejores prácticas de la industria. Aquí hay ocho ideas:

1. Realizar la debida diligencia sobre cualquier nuevo proveedor. Eso significa comprobar que su programa de seguridad se alinea con sus expectativas y que cuentan con medidas básicas para la protección, detección y respuesta a amenazas. Para los proveedores de software, también debería incluirse si cuentan con un programa de gestión de vulnerabilidades y cuál es su reputación con respecto a la calidad de sus productos.
2. Gestionar los riesgos del código abierto. Esto podría significar el uso de herramientas de análisis de composición de software (SCA) para obtener visibilidad de los componentes del software, junto con un escaneo continuo en busca de vulnerabilidades y malware, y la rápida corrección de cualquier error. Asegúrese también de que los equipos de desarrolladores comprendan la importancia de la seguridad desde el diseño al desarrollar productos.
3. Realizar una revisión de riesgos de todos los proveedores. Esto comienza con comprender quiénes son sus proveedores y luego verificar si cuentan con medidas de seguridad básicas. Esto debería extenderse a sus propias cadenas de suministro. Realice auditorías frecuentes y verifique la acreditación con los estándares y regulaciones de la industria cuando corresponda.
4. Mantenga una lista de todos sus proveedores aprobados y actualícelo periódicamente de acuerdo con los resultados de su auditoría. La auditoría y actualización periódica de la lista de proveedores permitirá a las organizaciones realizar evaluaciones de riesgos exhaustivas, identificar vulnerabilidades potenciales y garantizar que los proveedores cumplan con los estándares de ciberseguridad.
5. Establecer una política formal para proveedores. Esto debe describir sus requisitos para mitigar el riesgo del proveedor, incluido cualquier SLA que deba cumplirse. Como tal, sirve como un documento fundamental que describe las expectativas, estándares y procedimientos que los proveedores deben cumplir para garantizar la seguridad de toda la cadena de suministro.
6. Gestionar los riesgos de acceso de proveedores. Hacer cumplir el principio de privilegio mínimo entre los proveedores, si requieren acceso a la red corporativa. Esto podría implementarse como parte de un Enfoque de confianza cero, donde todos los usuarios y dispositivos no son de confianza hasta que se verifican, con autenticación continua y monitoreo de red que agregan una capa adicional de mitigación de riesgos.
7. Desarrollar un plan de respuesta a incidentes. En el peor de los casos, asegúrese de tener un plan bien ensayado a seguir para contener la amenaza antes de que tenga la posibilidad de afectar a la organización. Esto incluirá cómo comunicarse con los equipos que trabajan para sus proveedores.
8. Considere implementar estándares de la industria. ISO 27001 y ISO 28000 Tenemos muchas formas útiles de lograr algunos de los pasos enumerados anteriormente para minimizar el riesgo del proveedor.

En Estados Unidos, el año pasado hubo un 40% más de ataques a la cadena de suministro que ataques basados ​​en malware, según un informe. Dieron como resultado violaciones que afectaron a más de 10 millones de personas. Es hora de recuperar el control mediante una gestión de riesgos de proveedores más eficaz.