Todos hemos tenido que mejorar nuestra ciberresiliencia durante la última década. La variedad de amenazas a las que se enfrentan tanto empresas como particulares ha aumentado en magnitud, sofisticación y frecuencia. La dificultad de detectar vulnerabilidades de ciberseguridad en la cadena de suministro y corregirlas implica que los compradores están gastando más que nunca en mejorarla. Una prioridad estratégica de los responsables de gestión de riesgos es procurar que estas inversiones aporten valor a largo plazo mediante la adopción de prácticas de seguridad más fiables. Pero a menudo resulta más fácil de decir que de hacer.
El tercer informe anual del estado de ciberresiliencia de Accenture Security se centra en qué es lo que distingue a los líderes en ciberseguridad de los demás. La empresa encuestó a más de 4600 ejecutivos para entender el modo en que abordan los riesgos cada vez más sofisticados de la ciberdelincuencia. Mientras que la mayoría de las empresas han mejorado la seguridad básica de la cadena de suministro, existen diferencias evidentes entre quienes lo están haciendo muy bien y quienes se están esforzando solo lo imprescindible.
La investigación de Accenture concluye que el 40 % de las violaciones de seguridad son ataques indirectos contra eslabones débiles de las cadenas de suministro y los ecosistemas empresariales. La amenaza de una filtración de datos de un proveedor es un riesgo real, al igual que lo son los costos y las inversiones insostenibles que no generan valor.
¿Qué están haciendo las empresas pioneras en seguridad de la cadena de suministro y qué podemos aprender de ellas? Todas hacen tres cosas.
- Invertir en velocidad
La velocidad a la que una empresa es capaz de detectar un ciberataque a la cadena de suministro, repelerlo y recuperarse del mismo es uno de los aspectos principales que distinguen a las empresas líderes de las demás. Mientras que la mayoría de las políticas en materia de seguridad de la cadena de suministro ponen énfasis en la robustez, las más eficaces se centran en la velocidad y en tener el nivel adecuado de supervisión de datos. Según Accenture, los líderes en ciberseguridad son capaces de identificar y cubrir violaciones de seguridad en 15 días o menos de media.
El 46 % de los proveedores de nuestra comunidad de servicios ha designado oficialmente a una persona como responsable de la seguridad de la información, mientras que el 87 % de los que integran nuestra comunidad UVDB cuenta con un sistema de gestión de la seguridad documentado. Estos pasos son importantes para incorporar mejores prácticas en seguridad. Una mayor visibilidad y una mejor agilidad no solo facilitan una detección más rápida de las amenazas, sino que también permiten a compradores y proveedores medir con precisión sus capacidades actuales.
Sin embargo, en estos momentos, solo el 30 % de los proveedores de la comunidad dispone de un procedimiento en vigor para gestionar incidentes de seguridad, lo que supone que su respuesta será puntual y posiblemente lenta, además de ineficaz.
- Centrarse en el valor
Muchas empresas han experimentado un rápido aumento del gasto de sus inversiones en ciberseguridad sin los incrementos de valor que esperaban conseguir. Las cifras de Hiscox indican que empresas de todo el mundo han registrado un aumento del gasto en ciberseguridad del 39 % de media entre 2019 y 2020. Con tal incremento de recursos en un breve espacio de tiempo, es esencial que las empresas se aseguren de aprovechar al máximo hasta el último céntimo. El 69 % de los encuestados para el informe de Accenture considera que el crecimiento actual de los costes es insostenible a la larga.
Las empresas que lo hacen bien están destinando sus inversiones a soluciones que crean resultados específicos. Están creando herramientas que les ayudan a identificar con eficacia las posibles vulnerabilidades y debilidades en toda su cadena de suministro, lo que les permite centrarse en la protección de los activos principales.
- Conservar lo que tienen
Siempre existe la tentación de añadir más herramientas y capacidades; no obstante, las organizaciones líderes tienden a destinar una mayor parte de su presupuesto a impulsar lo que ya tienen. Es decir, se aseguran de cubrir adecuadamente los aspectos básicos. Pese a la sofisticación cada vez mayor de las filtraciones de datos de los proveedores, la mayoría de las vulnerabilidades de seguridad de las cadenas de suministro se siguen originando a partir de fallos en aspectos básicos, como la protección de los registros de los clientes.
Nuestros datos indican que, aunque se están consiguiendo avances, aún queda mucho por hacer. Aunque el 54 % de los proveedores de nuestra comunidad de tecnología y fabricación tiene implantada una política documentada de protección de datos y seguridad de la información, solo el 7 % puede demostrar que se ha sometido a una certificación o un control de calidad externos del tipo de la norma ISO 27001:2005 o equivalente.
Las consecuencias de no abordar las vulnerabilidades de seguridad en las cadenas de suministro pueden ser filtraciones de datos muy costosas. Algunos ejemplos recientes son la filtración de datos de Uber en 2016, que le costó 150 millones de dólares, la multa al aeropuerto de Heathrow de 120 000 £ por la pérdida de una memoria USB y el acuerdo de 575 millones de dólares al que llegaron Equifax y las autoridades reguladoras de los EE. UU. en 2019.
Ha llegado el momento de mejorar tu ciberresiliencia
Podemos colaborar con tus equipos de gestión de riesgos para aumentar la visibilidad de la cadena de suministro, detectar posibles debilidades y reducir el riesgo de filtraciones de datos de los proveedores. Además, reduciremos la carga de trabajo de tus equipos y te ayudaremos a desarrollar prácticas y protocolos de la cadena de suministro que minimicen los riesgos.
Dispones de más información aquí.