La correcta gestión de la cadena de suministro es una necesidad que no debe obviar ninguna organización. Es por ello que, en este proceso de trabajo ineludible y continuo, la seguridad debe ser una prioridad. Por su dependencia de aplicaciones de terceros, las empresas se enfrentan a una serie de amenazas que suponen un peligro para sus negocios. Dichos riesgos van desde la vulnerabilidad a ataques capaces de comprometer la integridad y la confidencialidad de los datos empresariales hasta el incumplimiento normativo. Todos ellos pueden exponer a la empresa a pérdidas económicas, sanciones legales y daños a la reputación.
Sin embargo, y aunque muchas organizaciones son conscientes de la importancia de adoptar medidas de protección adecuadas, en ocasiones, la calidad inconsistente de los productos o servicios utilizados por sus proveedores externos impacta directamente en los niveles de seguridad internos. Y tal situación, como es de esperar, supone un grave peligro. No en vano, en los últimos tres años, casi tres de cada cuatro organizaciones han experimentado una disrupción importante directamente atribuible a terceros.
Una adecuada gestión del riesgo de seguridad en la cadena de suministro
Para desplegar una estrategia de gestión de riesgo y adoptar una postura de seguridad corporativa eficaz, las organizaciones deben partir de un nivel de madurez adecuado, anteponiendo un modelo de proactividad frente a uno de reactividad.
En este paradigma, la identificación de vulnerabilidades y la comprensión de los riesgos permitirá a estas empresas ir un paso por delante, frente a un panorama de amenazas creciente y que evoluciona a pasos agigantados. Del mismo modo, la agrupación de todos los elementos de la cadena de valor dentro de dicho plan intensificará la postura de seguridad corporativa. El objetivo final es alcanzar un nivel de resiliencia adecuado para hacer frente a cualquier incidente de seguridad que pueda comprometer la continuidad o la imagen, marca o reputación de la compañía.
En este contexto, en el que la capacidad de respuesta ante incidentes de la que disponga la compañía marcará la diferencia, es aconsejable optar por vendors que, desde el principio del proceso de desarrollo de sus productos, practiquen un enfoque de «seguridad por diseño». Esto implica incorporar consideraciones de seguridad en todas las etapas del ciclo de vida del desarrollo: desde el diseño inicial hasta la implementación y fase de mantenimiento. En este sentido, es muy importante seleccionar soluciones de ciberseguridad que cumplan con los estándares de seguridad del mercado y las mejores prácticas de la industria, como la ISO 27001 o NIST Cybersecurity Framework.
También es trascendental la realización de pruebas exhaustivas −a nivel interno o por parte de terceros− para identificar y mitigar las vulnerabilidades en los productos. Esto incluye test de penetración, análisis estático y dinámico de código, pruebas de seguridad de la aplicación para garantizar que las soluciones sean robustas y resistentes a los ataques.
Una solución de ciberseguridad efectiva
Gestionar los riesgos asociados con ataques a la cadena de suministro y luchar contra amenazas como el malware requiere de un enfoque integral que combine varias estrategias y prácticas de seguridad.
Actualmente existen herramientas en el mercado especialmente diseñadas para estudiar y calificar el nivel de riesgo interno. Este tipo de soluciones evalúan la postura de seguridad desde el punto de vista corporativo, además de su relación con terceros en la cadena de suministro. Igualmente, examinan el nivel de exposición de las organizaciones de forma continua y en base a una serie de vectores, como: dominios SPF, configuraciones en certificados SSL/TLS, puertos abiertos a Internet, aplicaciones web, seguridad en aplicaciones, brechas o incidentes de seguridad y muchos otros.
Como resultado, estas tecnologías representan un instrumento de evaluación de la gestión de la seguridad en el tiempo, la cual posibilitará, además, supervisar los progresos y estimar y controlar todo el ecosistema de socios tecnológicos.
Solo encajando todas las piezas en un proceso permanente de mejora, las empresas podrán adaptarse de una manera más eficiente a las normativas de protección cibernética, aumentar su resiliencia operativa y cumplir con los requisitos regulatorios para proteger sus activos críticos y garantizar la seguridad de la información.