Domingo 21 de Enero de 2018

Considerar el riesgo cibernético de la cadena de suministro

14/8/2017

Peregrine Storrs-Fox, Risk Management Director del TT Club, escribe sobre: Considerar el riesgo cibernético de la cadena de suministro

riesgo cibernéticoRiesgo cibernético. Pocos en la cadena de suministro internacional de mercaderías pueden desconocer el evento cibernético “NotPetya” que se produjo a fines de junio de 2017. Las repercusiones deberían haber ocasionado que las organizaciones revisen y reevalúen la exposición al riesgo derivada de la ciber actividad en cada una de sus operaciones.
El riesgo cibernético fue durante mucho tiempo un problema de “cuando” y no de “si”. Ahora existe una mayor urgencia en la tarea de completar una evaluación completa y holística de los riesgos que enfrenta cada negocio. Quizás el mayor reto sea simplemente que se trata de un nuevo paradigma, para el cual los modelos existentes o históricos pueden ser inadecuados. El riesgo cibernético es grande, complejo, diverso y en gran medida oculto, pero tiene la capacidad de impactar a las organizaciones de maneras fundamentales.
Realidades incómodas
Las incómodas realidades son dobles: en primer lugar, la infraestructura interconectada en la que se apoya el negocio global es intrínsicamente insegura y, en segundo lugar, la naturaleza humana y el ingenio son a la vez la mayor fortaleza y la mayor debilidad.
Si alguno duda de la intensidad de la lucha del ‘bien’ y el ‘mal’ en este ámbito, el lanzamiento de la Operación #LeakTheAnalyst a finales de julio debe ser una llamada de atención.
La consideración de los bien divulgados incidentes cibernéticos de WannaCry y NotPetya no puede descansar en los aspectos tecnológicos, aunque estos sean importantes. Ambos eran, al parecer, cadenas de ransomware encriptadas dirigidas a los sistemas operativos Windows de uso común. Los medios de infección suelen ser una distribución de correo electrónico que incluye un enlace malicioso, generalmente de un remitente desconocido. Una vez lanzado dentro de la red de una organización, el ransomware puede propagarse rápidamente e infectar otros dispositivos, servidores y sistemas vulnerables.
En su mayor parte se puede suponer que las organizaciones serán víctimas involuntarias, aunque el espionaje corporativo y operaciones similares no pueden ser totalmente descontados del riesgo cibernético. Los acontecimientos recientes golpearon a través de todo el mundo y afectaron una amplia gama de actividades, incluyendo compañías de comida, estudios de abogados, el shipping de mercaderías, el negocio bancario, los servicios públicos y los de salud. La conclusión simple es que los delincuentes están explotando las debilidades en los sistemas, extorsionando por dinero y causando significativas interrupciones.
Exposición de la cadena de suministro
Es sorprendente que la cadena de suministro intermodal, al parecer, no haya estado más expuesta e interrumpida por la actividad ciber criminal. En parte esto puede deberse a un bajo nivel de transparencia y presentación de informes; las anécdotas sugieren que muchas partes interesadas son continuamente objeto de prolíficos “ataques” de varios tipos.
Es comprensible que las organizaciones tiendan a ser tímidas acerca de la incidencia y la forma de la actividad ciber criminal, por ese motivo el el compromiso de la APM Möller de revelar las lecciones aprendidas en el reciente evento es bienvenido.
En realidad, la cadena de suministro intermodal está particularmente expuesta, ya que depende cada vez más de las tecnologías de la información y las comunicaciones (TIC), que une oficinas entre diferentes países en cada una de las organizaciones involucradas, dependiendo de las interacciones con múltiples partes interesadas y con aplicaciones creadas exclusivamente para su propio uso, donde los protocolos de seguridad pueden no estar alertas a las últimas y más recientes vulnerabilidades. Además de esto, en el actual y competitivo entorno económico, muchas entidades que priorizan el escaso presupuesto, crearán apetitos de riesgo globales que están alineados con el riesgo cibernético.
La variedad del impacto es amplia, va desde el simple robo o fraude mediante el potencial de control o manipulación de sistemas o equipos, hasta la liberación de datos o la misma propiedad intelectual.
Al igual que con la exposición a los virus humanos, las lecciones esenciales de higiene son generalmente bien conocidas, estas incluyen:

-Asegurar que los parches a los softwares se apliquen regularmente, probablemente reconociendo ahora que hay poco tiempo para evaluar los impactos colaterales en aplicaciones dependientes.
-Mantener un eficaz software antivirus y un fuerte filtrado de spam (la mayoría de los proveedores agregarán rápidamente capacidad de detección para la evolución de las cepas de malware).
-Realizar copias de seguridad sistemáticas de los datos clave con regularidad, incluida la garantía de que los archivos de copia de seguridad se mantienen sin conexión para que no puedan ser infectados por ningún ransomware posterior.
– Muchas compañías efectúan arreglos de seguridad del correo electrónico en un esfuerzo por reducir el volumen de e-mails potencialmente fraudulentos. Se pueden establecer medidas para fortalecer la identificación del remitente de correo electrónico antes de su liberación en un sistema interno de correo electrónico, incluida la validación del marco de políticas del remitente (SPF). El SPF confirma que un mensaje proviene de un dominio legítimo asociado con la empresa emisora.
Evaluar los comportamientos humanos
Claramente, los sistemas para minimizar el riesgo cibernético dependen de la interacción humana, pero cada individuo debe estar alerta a los riesgos. Por lo tanto, las técnicas de mitigación de riesgos deben combinarse con el compromiso del comportamiento humano. La estructura y la cultura de cada organización van a afectar fundamentalmente la forma en que sus empleados y contrapartes reaccionan ante las amenazas y vulnerabilidades cibernéticas.
La articulación de políticas claras, la concienciación efectiva y regular y el entrenamiento de buenas prácticas son acciones necesarias para combatir al menos la insidiosa amenaza interna. Por ejemplo, la capacidad de detectar correos electrónicos sospechosos y manejarlos correctamente sigue siendo vital.
También hay que reconocer claramente que las personas tienen vidas fuera del lugar de trabajo. Las organizaciones deben considerar las interfaces con dispositivos como los teléfonos inteligentes, por no hablar de las posibles vulnerabilidades presentadas a través del uso de las redes sociales.
A nivel personal y corporativo, se requiere un considerable equilibrio entre la fortaleza de la seguridad perimetral y su facilidad de uso. Esto necesita abarcar no sólo cuestiones como la contraseña o complejidad del PIN, sino también la claridad en cuanto a la conexión y el uso de dispositivos periféricos y unidades USB.
Junto con la realidad de que las TIC son cada vez más importantes para el logro de objetivos personales y corporativos, la evaluación de los riesgos cibernéticos debe llevar a una mitigación de estos que reconozca que las defensas perimetrales son insuficientes por sí mismas, concluyendo que se debe dar atención a los factores humanos y técnicas de rectificación.
Lo experimentado hasta la fecha podrían ser solo escaramuzas menores.

Fuente: TT Club