Flavijus Piliponis â stock.ado
Se necesita más urgencia para la seguridad de la cadena de suministro durante las fiestas
En esta entrevista, Kyle Rice, CTO de SAP NS2, explica la delicadeza de las cadenas de suministro cada vez más complejas, y por qué el departamento de TI debe ser proactivo a la hora de encontrar sus eslabones más débiles.
A medida que las cadenas de suministro se convierten en redes más digitales y globales, también se vuelven más vulnerables a los ciberataques.
Entre los tipos de amenazas a la seguridad de la cadena de suministro de los que las organizaciones deben cuidarse se encuentran las fugas y el robo de datos, los ataques de denegación de servicio, el malware y los ataques de ransomware, todos los cuales pueden detener las operaciones de la cadena de suministro y perturbar a las empresas.
Los problemas de seguridad de la cadena de suministro solo se convierten en amenazas mayores durante la temporada de fiestas, según Kyle Rice, director de tecnología de SAP National Security Services (NS2), una filial de propiedad exclusiva de SAP que vende tecnología, aplicaciones y servicios de SAP a organizaciones que no pueden comprar software de una empresa extranjera y que tiene su sede en Newtown Square, Pensilvania. La temporada de vacaciones es especialmente propicia para los actores de amenazas nefastas porque el personal de TI suele reducirse, los empleados están más distraídos y las empresas experimentan picos de actividad.
En esta entrevista, Rice profundiza en la naturaleza de estas amenazas a la seguridad de la cadena de suministro y en cómo las organizaciones pueden mitigarlas.
¿Cuáles son algunos de los problemas relacionados con la seguridad de la cadena de suministro en los que deben centrarse las empresas?
Kyle Rice: Hay un par de cosas. Una de ellas es la visibilidad de lo que se tiene. Básicamente, tiene que hacer que su personal de compras mire la lista de materiales para ver de dónde proceden los componentes. ¿Hay empresas o productos en la cadena con los que no se sienten cómodos? ¿Hay componentes clave que provienen de países que no tienen en cuenta los intereses de Estados Unidos? Puede ser una red bastante complicada, pero existen herramientas que pueden ayudarle. Las computadoras son buenas para tejer estas redes.
La segunda se centra en la mitigación y en la elaboración de planes alternativos porque va a encontrar problemas. La visibilidad, por sí sola, no es suficiente, y ahora usted tiene que averiguar qué hacer con relación a estos problemas.
¿Por qué las amenazas a la seguridad se centran especialmente en la cadena de suministro?
Por el arroz: En la cadena de suministro, uno es tan fuerte como el eslabón más débil. Así que si alguien está tratando de causar algún problema a una empresa en particular, esa empresa puede estar bien cerrada, pero puede haber un proveedor en la cadena de suministro que no esté siendo tan cuidadoso, por lo que puede romperse allí. Esto puede causar graves problemas. Por ejemplo, si nos fijamos en los problemas de producción de automóviles que tenemos ahora, los fabricantes pueden seguir construyendo todas las piezas de alta gama de los coches –el motor, el tren de transmisión, la carrocería– pero eso no importa porque no pueden conseguir los chips de nivel básico realmente baratos, por lo que no pueden vender coches. Esta pequeña parte está deteniendo a toda la industria. Así que si hay actores nefastos involucrados que realmente quieren derribar la industria del automóvil, no es una mala manera de hacerlo. Si alguien está tratando de romper las cosas, van a encontrar ese eslabón débil en la cadena, y usted tiene que encontrarlo antes de que ellos lo hagan.
Las fiestas se acercan. ¿Deben las empresas centrarse en la seguridad de la cadena de suministro ahora, o tienen tiempo?
Rice: Definitivamente, ahora es el momento adecuado para hacerlo, porque las cosas se complican durante las fiestas. Siempre se observa un aumento de los ciberataques [que pueden interrumpir las cadenas de suministro], pero también hay una disminución simultánea de la precaución. Cualquiera que le haga algo nefasto casi siempre va a intensificar su actividad durante las fiestas. La gente sabe que el personal informático está de vacaciones, así que siempre es un buen momento para intentar aprovecharse del hecho de que su personal puede estar reducido. Además, es la época de las vacaciones y todo el mundo va de un lado a otro haciendo cosas y recibiendo muchos correos electrónicos. Así que usted no sabe si todo el mundo en su empresa tiene cuidado con lo que hace clic, pero siendo realistas, probablemente no lo tengan. Así que cuanto más se pueda entrenar para eso ahora, más se puede preparar a la gente para la crisis que va a ocurrir.
¿Las empresas dedican más esfuerzos a responder a los hacks que a prevenirlos? ¿Qué medidas de mitigación deberían tomar?
Rice: Sí, es como cerrar la puerta del establo después de que el caballo haya salido de él. Pero hay tres cosas en las que hay que pensar si se quiere prevenir los ataques informáticos en lugar de responder a posteriori. Una es la aplicación de parches de software y la gestión de vulnerabilidades. Esto es solo higiene básica, pero es súper importante. Dependiendo de la fuente en la que crea, entre el 30 % y el 60 % de los ciberataques de los últimos años se debieron a vulnerabilidades conocidas y software sin parchar. Así que se está dejando la puerta abierta si no pone sus parches. Se lo pone demasiado fácil a la gente.
Lo segundo es la seguridad del correo electrónico y el phishing. Hay que trabajar en la formación del personal, sobre todo en época de vacaciones, porque hay más gente que se engancha al phishing en esta época. La gente está más ocupada, se estresa y empieza a hacer clic en cosas que normalmente no haría. Así que hay que anticiparse a ello dándoles herramientas de filtrado, pero también mediante la capacitación.
Lo tercera se refiere a la supervisión de la seguridad que es informada de antemano por la inteligencia de amenazas automatizada y basada en la IA, que le ayuda a determinar qué cosas están sucediendo. Hay que reconocer que, aunque se apliquen todos estos parches y se imparta capacitación, seguirá habiendo problemas. La naturaleza de la bestia es que no hay seguridad al 100 %. Hay que contar con una solución que permita detectar esos problemas y detectarlos antes.
¿Pueden ayudar la automatización y la inteligencia de amenazas de la IA?
Rice: Sí, porque se pueden utilizar para ver lo que ocurre [con las amenazas a la seguridad] y aprender con el tiempo. Pero es como una batalla continua entre la IA en ambos lados: En el lado defensivo, estamos intentando mejorar el aprendizaje y ver más sobre lo que está pasando, y luego entrenar modelos a medida que los ataques siguen ocurriendo. Los atacantes también utilizan la IA, porque intentan ocultar lo que hacen, así que hay una especie de punto muerto.
¿Qué deben tener en cuenta las organizaciones sobre la seguridad de la cadena de suministro cuando se acercan las fiestas?
Rice: En primer lugar, hay que poner en orden la gestión de parches y la capacitación ahora que aún hay tiempo. En segundo lugar, comprenda que habrá un aumento de los incidentes, por lo que debe estar preparado para ello. Tal vez pueda cambiar un poco su personal, porque los atacantes se aprovechan de los patrones de personal predecibles. También es un buen momento para obtener una evaluación de su entorno por parte de un tercero para identificar las deficiencias y los problemas. La seguridad perfecta es imposible, en general, pero una seguridad muy buena es algo que se puede alcanzar.
Jim O'Donnell es un escritor de noticias de TechTarget que cubre ERP y otras aplicaciones empresariales para SearchSAP y SearchERP.