El eslabón más débil

data-center-23689601

Una creencia frecuente entre los responsables de pequeñas y medianas empresas es que su nivel de exposición a las ciberamenazas es irrelevante, asumiendo que son las grandes empresas las más expuestas a este tipo de riesgos. Sin embargo, las estadísticas muestran que los ciberataques tienen como objetivo empresas de todo tipo y tamaño.

Según Verizon, en 2014 más del 90% de los ciberataques tuvieron como objetivo pequeñas empresas. Lamentablemente, una gran parte de las pequeñas y medianas empresas que sufren un incidente de seguridad grave, acaban quebrando.

El eslabón más débil en la cadena de suministro de servicios

Internet constituye una forma flexible, económica y rápida de interconectar las redes de distintas empresas y esto ha propiciado desde la última década del siglo XX, la externalización de procesos hacia proveedores de servicios. Los negocios tienden a reducir su tamaño y a establecer múltiples colaboraciones y alianzas con distintos proveedores para poder proveer a los clientes de productos o servicios de una manera ágil y coste eficiente.

Estas cadenas de suministro de bienes y servicios dependen de la integración de las redes y sistemas informáticos de empresas de distinto tipo, algunas de las cuales son pequeñas y medianas empresas. En esta red interconectada, las pequeñas y medianas empresas son frecuentemente el eslabón más débil de la cadena y, por ello, son un objetivo idóneo para ser atacados y usados como punto de entrada para llegar a las empresas más valiosas.

Las pequeñas y medianas empresas carecen normalmente de los recursos y conocimientos que tienen las grandes organizaciones para proteger la información y los sistemas y, por ello, son más vulnerables y fáciles de atacar. Además, en ocasiones representan un único punto de fallo, o procesan cantidades importantes de información sensible, lo que supone un riesgo para aquellas empresas más grandes que las han subcontratado.

En algunos casos, las grandes compañías no tienen una visión clara de la exposición a las ciberamenazas como consecuencia de la externalización de sus procesos.

Algunos escenarios

Mencionaremos aquí algunos escenarios basados en incidentes reales relacionados con la cadena de suministro:

  • Un grupo de hackers troyanizó el software de un proveedor de sistemas de control industrial (ICS). El grupo consiguió hackear la web del proveedor de software y sustituyó los ficheros legítimos por las versiones troyanizadas de modo que los clientes se descargaban las versiones manipuladas desde la propia web del proveedor. En este ejemplo, el proveedor de software era meramente un medio para infiltrarse en las empresas que usaban el software.
  • En la misma línea, otro grupo de hackers consiguió infiltrar un script malicioso en el código fuente desarrollado por una pequeña empresa de programación web que proporcionaba servicios a empresas de publicidad. De este modo consiguieron infectar los sitios web de las empresas cliente que usaban el código. Los visitantes de los sitios web afectadas eran redirigidas a un servidor malicioso desde donde eran infectados con un troyano bancario.
  • Muchas empresas delegan en empresas externas el procesamiento masivo de datos sensibles de negocio; estas empresas de servicios acumulan cantidades ingentes de información de múltiples clientes y por ello son un posible objetivo de ataques. En 2013 una de estas empresas reportó la detección de una puerta trasera en varios ordenadores de la empresa. El posterior análisis forense demostró que durante varios meses se habían exfiltrado a través de Internet cientos de Gibabites de información sensible de al menos seis entidades financieras y afectando a más de 100.000 clientes de estas entidades.

Conclusiones

El modo más frecuente de gestionar los riesgos relacionados con la cadena de suministro es mediante la definición a nivel contractual de medidas de seguridad en la prestación del servicio y la contratación de proveedores redundantes para garantizar el servicio aún en caso de que uno de los eslabones de la cadena falle.

Es frecuente que las empresas cliente más grandes lleven a cabo auditorías para verificar on-premise la efectividad de las medidas aplicadas por los proveedores o que aquellas requieran que los proveedores aporten la evidencia de auditorías de cumplimiento realizadas por terceros independientes.

En mi opinión, los marcos de control que suelen establecerse se focalizan en el establecimiento de controles generales que permiten prevenir los riesgos más básicos y el cumplimiento de leyes o marcos de control sectorial; sin embargo, son insuficientes para el nuevo escenario de las ciberamenazas que afectan cada vez más y de manera indiscriminada a empresas grandes y pequeñas.

Por otro lado, es frecuente que las empresas que subcontratan o prestan servicios suelan focalizarse en la reducción de costes. Por ello, en algunos casos, los clientes son reticentes a incrementar su nivel de exigencia en los proveedores de la cadena de suministro, dado que esto podría incrementar también el nivel de coste del servicio. Por su parte, la crisis económica y la creciente presión competitiva entre las empresas hacen que muchas de ellas, especialmente las más pequeñas, dejen de invertir en seguridad y como consecuencia, los marcos de control se van deteriorando con el tiempo aumentando así la vulneravilidad de la red interconectada de empresas. A esta situación contribuye el gran desconocmiento y escepticismo que puede existir todavía a nivel de la alta dirección de muchas empresas sobre la materialidad de las ciberamenazas en la nueva economía digital.

Es necesario que las empresas sean conscientes del nivel de riesgo que asumen por la interconexión con sus socios en la cadena de suministro de bienes y servicios y adapten el modo de gestionar este riesgo. Algunas ideas en este sentido son:

  • Re-evaluar los riesgos desde la perspectiva del nuevo escenario de ciberamenazas y re-definir los marcos de control necesarios para afrontar los nuevos retos.
  • Tratar de Involucrar de manera colaborativa en este ejercicio al resto de intervinientes en la cadena (socios, proveedores), para construir e implementar soluciones globales que beneficien a todos, protegiendo la cadena de manera holística de extremo a extremo.
  • Evaluar la posibilidad de invertir solidariamente por parte de los intervinientes en el incremento de seguridad de la cadena global. Esto podría crear economías de escala y aumentar la ventaja competitiva y la segruidad de todos los intervinientes. En el caso de empresas más pequeñas con menos recursos, esto podría ser considerado como una  inversión de los clientes más grandes en las empresas más pequeñas. Éstas reforzarían su posición y los clientes más grandes podrían beneficiarse a futuro de mejores precios al convertirse en socios.
  • Ser capaz de detectar relaciones clientes-proveedor que impliquen riesgos no asumibles y buscar alternativas para eliminar de la cadena los eslabones que no puedan garantizar un nivel adecuado.
  • Reforzar los mecanismos de compartición de información entre los intervinientes y los procedimientos de respuesta coordinada ante incidentes…

En fin, son sólo algunas ideas que quizás tengamos oportunidad de debatir en el futuro… Un fuerte abrazo y hasta pronto.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s