La protección de las empresas en materia de ciberseguridad se ha convertido en uno de los principales objetivos dentro de las estrategias empresariales. Y es que el riesgo de sufrir un ciberataque es cada vez mayor, siendo España el tercer país más atractivo para los ciberdelincuentes. Tal es el punto que, en el último año, se produjeron 40.000 ciberataques diarios, según señala Datos 101. Es por ello, por lo que las empresas han aumentado sus inversiones en ciberseguridad.
La cadena de suministro es una de las vías por las que más ciberataques entran en las compañías, de hecho, este riesgo llega incluso a triplicarse. Es por ello, por lo que el 90% reconoce estar muy preocupado por la protección de sus proveedores y de la cadena de suministro en general, incluso aunque no hayan sufrido ninguna intromisión, según datos del último estudio de PwC.
“Proteger la cadena de suministro es clave para no sufrir un ciberataque que ponga en jaque el buen funcionamiento e integridad empresarial. Para ello, identificar lo que se quiere proteger, los riesgos de los diferentes proveedores y con qué procesos y metodologías se pueden abordar dichos riesgos, es fundamental. Esta evaluación e identificación debe ser continua y constante para ayudar a que el proceso tenga buenos resultados”, explica Rosario Piazza, CEO de Fullstep, compañía especializada en la digitalización end-to-end del proceso de compras, aprovisionamiento y cadena de suministro.
Índice de temas
Las pymes, las más vulnerables ante los ciberataques
Las cadenas de suministro mundiales han visto impulsada su digitalización y transformación, sobre todo en los dos últimos años, lo que tiene como consecuencia directa su exposición a riesgos de distinto tipo y fuente. Y es ahí donde los hackers tratan de atacar el punto más vulnerable de la cadena.
Las PYMES son las grandes perjudicadas en materia de seguridad. De hecho, el 37% de las pequeñas y medianas empresas sufrió este tipo de ciberataque en el último año según datos de PwC. “Los ciberdelincuentes para atacar a las grandes empresas, lo hacen a través de sus ‘partners de confianza’, normalmente pymes. Muchas de estas empresas no se encuentran correctamente protegidas ni le dan la importancia necesaria, ya que ven las posibles amenazas de ciberespionaje y ciberterrorismo como algo que sólo afecta a los países y las grandes multinacionales. Y esto es un grave error. Esta falsa sensación de seguridad puede provocar que tengan una actitud demasiado relajada hacia la protección de sus sistemas y datos, lo que las convierte en un player clave para los ciberdelincuentes”, asegura Piazza.
La interrupción del servicio al cliente, el debilitamiento del buen funcionamiento y la confianza, la pérdida de ventaja competitiva, el robo de datos, o el paro de abastecimiento son algunas de las grandes consecuencias del ataque a estos players.
5 consejos en la gestión de proveedores en materia de ciberseguridad
Los expertos de Fullstep, hacen un repaso por las medidas que deben tomar las diferentes compañías para prevenir el ciberataque en torno a la cadena de suministro y en concreto en la gestión de proveedores.
1. Analizar la complejidad de la gestión de riesgos. Es recomendable hacerlo a través de un proceso de 3 fases clave: la primera, el diseño del modelo de gestión para identificar las categorías de suministro, el mapa de posibles riesgos y su nivel de criticidad en cuanto a probabilidad de ocurrencia, dificultad de detección y nivel de gravedad. En segundo lugar, la gestión operativa de este modelo. Y, por último, el control y mejora continua del proceso.
2. Establecer criterios de la categorización de riesgos. Una función optimizada de compras debe establecer un sistema para identificar y gestionar adecuadamente los riesgos en toda la cadena de valor. Tener previsto un riesgo y contar con un paliativo para éste, puede suponer una enorme ventaja para la empresa frente a quienes no lo hayan hecho. “Este ejercicio proactivo y su adecuada implantación con un sistema óptimo de vigilancia, incorporando tecnología al modelo para incrementar la eficiencia y seguridad, es el camino para recuperar el control de todo lo que, por ser externo a la organización, parece inabarcable”, explica Rosario Piazza, CEO de Fullstep.
3. Contar con herramientas de rating y análisis de seguridad en tiempo real. Estos sistemas ayudan a gestionar en real time la ciberseguridad de la cadena de suministro. De esta forma, las compañías pueden identificar y reducir el riesgo tanto en la propia organización como en los ecosistemas de terceros. Asimismo, ayuda a contar con una visión 360º del ciclo de vida de los proveedores, mejorando la eficacia de las empresas en esta área. “En todo momento se debe buscar la alineación de los proveedores con la seguridad de las empresas para conseguir reducir el ciberiesgo”, comenta Piazza.
4. Cumplir con los estándares y normativas de seguridad. Las empresas deben cumplir, y exigir a su vez, el cumplimiento de las normativas de seguridad a los proveedores, como por ejemplo el CISM (Certified Information Security Manager), CEH (Certified Ethical Hacker), CRISC (Certified in Risk and Information Security Control), CISSP (Certified Information Systems Security Professional), (Certified Cloud Security Professional) entre otros. Para ello, contar con un partner especializado, que conozca cada una de ellas y cómo trabajar conforme a ese cumplimiento es de vital importancia.
5. Compromiso y formación del equipo. Para un correcto control y protección, es necesario formar a los empleados, ya que son la última línea de defensa, y al igual que las PYMES, suelen ser uno de los grandes focos por los que atacar. Establecer una cultura digital, con compromiso, con un exhaustivo control de accesos, es clave para evitar amenazas.
En definitiva, la ciberseguridad dentro de las empresas se ha convertido en algo core para el buen funcionamiento e incluso la supervivencia de estas, ya que el número de ciberamenazas se prevé que siga creciendo en los próximos años. Por ello, es importante una completa involucración de cada miembro interno y externo de las compañías en el cumplimiento de la política de ciberseguridad empresarial.