El papel de las PYMES en la ciberseguridad de las cadenas de suministros

Tribuna de Juanjo Galán, Business Strategy de All4Sec

Publicado el 10 May 2023

21978_80

Las cadenas de suministros se han alzado como uno de los principales riesgos que presentan las compañías de tecnología. No debería ser necesario recordar los ciberataques sufridos por compañías como Solarwinds o Com100 que desencadenaron todo un conjunto de problemas de seguridad a otras compañías que habían adquirido sus productos. De forma análoga, hace apenas unos días se conoció que fallos en una aplicación de Trading Technologies generó problemas de seguridad una aplicación de otro proveedor, 3CX, y con ellos en numerosas entidades que hacían uso de esta aplicación.

Según algunos estudios, el 80% de las empresas que gestionan a múltiples proveedores han sufrido algún tipo de ciberataque a través de su cadena de suministros. El porcentaje parece elevado, pero lo llamativo del dato es que los mismos estudios indican que apenas un 23% de esas compañías supervisan a sus proveedores, lo que deja un gran número de entidades sin un verdadero control sobre las actividades que llevan a cabo sus suministradores.

Las PYMES como proveedores de terceros

Las PYMES a menudo tienen entre sus principales clientes a otras grandes compañías o incluso a clientes finales. En ocasiones también cuentan con otras PYMES que actúan como proveedores dentro de sus propias cadenas de suministros. De este modo, y en general, las PYMES tienden a formar parte de cadenas de producción jugando un papel ciertamente relevante; más relevante aún del que algunos imaginan.

Cualquier fallo de seguridad en sus actividades puede producir un efecto en cadena que lleve al traste el producto final. No en vano, los fallos de seguridad en los eslabones más pequeños o vulnerables de esa cadena, en este caso las PYMES, son los que dan lugar a los mayores problemas en la entrega o distribución final de un producto.

Este modelo de colaboración hace que las PYMES se conviertan en objetivos estratégicos de los ciberdelincuentes, particularmente en Europa donde representan el 99% del tejido empresarial de la Unión.

Dependencia de la tecnología

Con la transformación digital, se puede decir que el problema se ha acentuado. Las compañías que participan del modelo de colaboración basado en cadenas de suministros se han hecho fuertemente dependientes de Internet y de las infraestructuras tecnológicas que lo soportan.

A través de la tecnología, estas empresas tratan de mejorar su eficiencia, aunque al mismo tiempo se exponen a sufrir numerosos ciberataques. Vulnerabilidades en los equipos informáticos, errores humanos, actos negligentes o simplemente engaños con ataques de phishing se han convertido en amenazas que pueden desencadenar toda una secuencia de acciones que alteren el resultado final de un producto.

Entre las consecuencias a las que se enfrentan estos proveedores están la inhabilitación de sus equipos informáticos, el robo información confidencial o la suplantación de la identidad de empleados o incluso de la propia compañía.

¿Por qué las PYMES son objetivos estratégicos de los ciberdelincuentes?

Es evidente que el modelo de cadena de suministros hace que cada eslabón de la cadena se convierta en un elemento crítico para la generación y entrega del producto o servicio final.

Las PYMES son así actores críticos que deben actuar con la debida ciber-diligencia. Y decimos ciber-diligencia porque en el mundo de la ciberseguridad hay muchos factores que hacen que las pequeñas y medianas compañías sean víctimas propicias para los ciberdelincuentes.

Entre estos factores se encuentran aquellos que están ligados a su tamaño y que traen consigo limitaciones en cuanto a experiencia tecnológica en ciberseguridad y tecnologías emergentes solicitadas por sus clientes, recursos humanos cualificados, financiación ajustada a las necesidades, etc. Incluso, podríamos mencionar otras colaterales, aunque no menos importantes, como la ingeniería social con un acceso más rápido y sencillo a los puestos de responsabilidad de la compañía o incluso la multiplicidad de roles dentro de la organización para una misma persona, haciendo que la información de diferentes departamentos sea accesible entre ellos. Ni que decir tiene que el uso de equipos personales (BYOD) o incluso la compartición de dispositivos es una práctica común y que sus procedimientos de trabajo están basados en la experiencia más que en procesos perfectamente definidos.

Obviamente, no podemos extrapolar esta situación a todas las PYMES, pero con que una de ellas atraviese por una de estas situaciones puede ser condición suficiente para que la cadena de suministro se vea completamente alterada. Su impacto puede conducir a daños operacionales, financieros o incluso reputacionales de toda la cadena.

Recomendaciones básicas

Así pues, resulta evidente que el papel de las PYMES en el tejido empresarial resulta crítico para el buen funcionamiento de cualquier sector de la sociedad. El esfuerzo que realizan para generar riqueza y prestar sus servicios a menudo se enfrenta a numerosas dificultades que diariamente deben abordar utilizando, en muchas ocasiones, medios limitados.

A estas dificultades se unen otras responsabilidades ligadas a ciberseguridad que no solo les afectan directamente en sus propias operativas sino también en las de aquellos a los que prestan servicios. Por eso, su relevancia es si cabe más importante. Por eso, también, existen algunas directrices que toda PYME puede seguir y que muy posiblemente atenuarán en parte esas carencias.

  • Los ciberataques son inevitables. Por tanto, como PYME, el foco no debe estar solo en prevenir su ocurrencia sino también en cómo mitigar sus consecuencias. La resiliencia es una característica fundamental cuando se forma parte de una cadena de suministros. Así pues, las mitigaciones deben estar dirigidas (entre otras cosas) a la recuperación de la operatividad.
  • No todos los sistemas y datos son de igual importancia dentro de una PYME. Con el creciente número de vulnerabilidades y amenazas que surgen en torno a los sistemas tecnológicos, proteger todo, y a todos, no es una opción viable, y menos aún para las pequeñas empresas. La limitación de recursos para ciberseguridad es un hecho, por tanto, resulta más útil categorizar los activos de la compañía (sean estos datos, equipamientos o servicios) y focalizar la protección en aquellos que resulten críticos. Por ejemplo, definir privilegios y controles de acceso a esos recursos puede resultar una actividad razonablemente asumible.
  • La comunicación con otras compañías (actuando como proveedor o simplemente como cliente final) son de una importancia vital en las relaciones comerciales. Cualquier intercambio de información o conexión entre sistemas remotos debe estar debidamente protegida y debería ser periódicamente auditada para evitar usos que puedan llevar a daños irreparables a uno y otro lado.
  • La ciberseguridad no solo se implementa con tecnología; igualmente importantes son las personas y los procesos. La definición clara de actividades y procedimientos de actuación es indispensable para el correcto funcionamiento de la compañía. Estos procesos deben tener en cuenta los aspectos de ciberseguridad asociados a su ejecución. En ocasiones se trata de simples controles y autorizaciones, en otras son más complejos como el despliegue de herramientas tecnológicas para lo cual hay que disponer de recursos cualificados.
  • Los empleados juegan un papel clave en el funcionamiento de una PYME y tienen una responsabilidad sobre el impacto de sus acciones en terceras partes. Por eso, su concienciación en aspectos de ciberseguridad resulta fundamental. En ocasiones se necesita simplemente impartir algunas sesiones básicas sobre prácticas seguras en el uso de los recursos. Esto no excluye otras medidas tecnológicas como, por ejemplo, la definición de identificadores de usuarios únicos y, sobre todo, diferentes para distintos roles dentro de la compañía. El uso de contraseñas robustas, preferiblemente con soporte de doble autenticación (MFA), resulta indispensable.
  • Finalmente, será de enorme utilidad la revisión periódica de las medidas de ciberseguridad adoptadas. La autocomplacencia no es una buena opción en ningún caso. Una auditoría independiente que incluya, por ejemplo, actividades de pentesting, puede ser una acción asumible para una PYME.

En definitiva, el papel de las PYMES en la ciberseguridad de sus clientes es vital cuando entran a formar parte de sus cadenas de suministros. Proteger ese eslabón de la cadena aportará valor al producto o al servicio que proporcionan. El uso de herramientas tecnológicas será de enorme utilidad, aunque también existen otras posibilidades ligadas a procesos y normas de actuación que sumadas pueden hacer que el resultado para todos sea mucho más satisfactorio.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

T
Redacción TICPymes

Artículos relacionados

Artículo 1 de 4