¿Por qué los ataques a la cadena de suministro de software son la pesadilla de los CEOs?
Los recientes ataques a la cadena de suministro, como el de SolarWinds y el de Mimecast, han demostrado que este tipo de ataques está definitivamente en aumento para las empresas. Puede que pienses que, como pequeña o mediana empresa (PYME), tienes menos de qué preocuparte en comparación con una empresa. Pero las PYMES tienen tanto o más que preocuparse por los ataques a la cadena de suministro de software.
Ten en cuenta que después de un ciberataque a la cadena de suministro de software, es el CEO de dicha empresa el que tiene que rendir cuentas. Afortunadamente, con el liderazgo adecuado, un buen CEO puede poner en marcha un sistema que puede minimizar el riesgo de los ataques a la cadena de suministro de software.
Sin embargo, antes de explicar los riesgos para las PYMES, tomemos un momento para explicar brevemente lo que implica un ataque a la cadena de suministro de software.
¿Qué es un ciberataque a la cadena de suministro de software?
Un ataque a la cadena de suministro se produce cuando un atacante consigue penetrar en el sistema de una organización a través de un malware instalado en la aplicación de software de un proveedor o de un tercero. Los atacantes lo hacen descubriendo vulnerabilidades en los códigos fuente, en los protocolos de red inseguros o en los servidores o mecanismos de actualización de terceros que no son seguros. Un solo eslabón débil en la cadena de suministro es todo lo que se necesita para un ataque.
El objetivo del malware de la cadena de suministro es manipular el código fuente y robar datos, acceder a otras partes de la red de la organización o dañar otros sistemas.
¿Por qué las PYMES corren un mayor riesgo de sufrir ataques a la cadena de suministro de software?
Con menos recursos que sus homólogos empresariales, las PYMES dependen mucho más de la subcontratación para muchos aspectos de su organización. La gestión de estos terceros puede convertirse en todo un reto. La mitad de las PYMES afirman tener dificultades para gestionar a sus proveedores. Y más de un tercio no sabe cuántos proveedores externos utiliza.
La combinación de la dependencia de terceros y la incapacidad de gestionarlos hace que las PYMES sean más susceptibles a los ataques a la cadena de suministro de software. Según los expertos en ciberseguridad, sólo el año pasado se produjo un aumento del 430% en los ataques a la cadena de suministro de software.
He aquí algunas razones más para su mayor riesgo:
La dependencia de las PYMES de terceros dificulta el seguimiento de los datos
Las PYMES suelen ceder a sus socios la tarea de gestionar a sus proveedores. Pero eso significa que renuncian al control de su cadena de suministro. Eso también hace que les resulte difícil asegurarse de que los proveedores externos trabajan de forma que ofrezcan la máxima protección. Por ejemplo, es casi imposible para las PYMES cumplir con las diferentes normativas del sector que estipulan que deben rastrear sus datos.
Toda la base de datos de clientes está expuesta a un tercero
Dado que las PYMES no son capaces de averiguar si el tercero está trabajando con sus datos de forma segura, esto significa que su base de datos de clientes suele estar expuesta. Las bases de datos de clientes expuestas son fácilmente descubiertas por actores de amenazas maliciosas y distribuidas incluso libremente en foros de dark web, mercados y páginas de anuncios.
Las PYMES son consideradas responsables de ataques que son culpa de terceros
Lo peor para las PYMES es que, aunque se vean obligadas a ceder el control de partes de su cadena de suministro, son responsables en caso de que un ataque a la cadena de suministro de software provenga de un tercero. Esto también puede incluir multas. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea exige que las empresas informen a sus clientes de una violación de datos. Estados Unidos tiene una normativa similar.
El ciclo de vida de los datos suele estar fuera del alcance de una PYME
Los reguladores también exigen que se eliminen los registros de datos expuestos. Pero debido a la forma en que los datos fluyen a través de una PYME y a su dependencia de terceros, el ciclo de vida de los datos suele estar fuera del alcance de una PYME. Esto hace que sea difícil localizar los registros de datos expuestos, y mucho menos eliminarlos.
¿Cómo pueden las PYMES mitigar los daños de un ataque a la cadena de suministro de software?
Para todas las empresas, los datos son los que presentan el mayor riesgo. Al igual que las empresas, las PYMES deben ser conscientes de las amenazas que intentan acceder a sus datos. Esto significa estar al día sobre los últimos métodos que utilizan los hackers y sus últimos objetivos. Si tu empresa no dispone de los recursos necesarios para mantenerse al día con las mejores prácticas de ciberseguridad, considera la posibilidad de encontrar una organización o solución de ciberseguridad que lo haga por ti.
A continuación, presentamos algunas sugerencias sobre cómo empezar a proteger los datos dentro de tu organización:
- Controla quién tiene acceso a tus datos. Emplea los principios de mínimo privilegio y confianza cero y nombra sólo a personas específicas de los terceros que tengan acceso a tus datos. Esto es fundamental para proteger vectores clave como las aplicaciones, la red y los sistemas operativos de los dispositivos móviles.
- Actualiza regularmente las contraseñas. Las contraseñas seguras son la clave para mitigar los ciberataques, ya que son más difíciles de explotar para los ciberdelincuentes. Además, cualquier daño causado por una contraseña antigua filtrada puede reducirse significativamente si las contraseñas se restablecen de forma regular.
- Asegúrate de que tu red es segura. Limita el número de aplicaciones de software accesibles en la red. Con los trabajadores remotos, la protección de los puntos finales es fundamental. Educa a tus empleados en las mejores prácticas de ciberseguridad para sus teléfonos, ordenadores de sobremesa y tabletas.
- Refuerza tu diligencia debida, y aprende más sobre la diligencia debida de tus terceros. Comienza a poner en marcha procesos de auditoría y evaluación que incluyan la revisión de los acuerdos de nivel de servicio. Elige proveedores con normas de seguridad de confianza y mejores prácticas en vigor.
Preparando el camino para el éxito en ciberseguridad
Un buen plan de ciberseguridad comienza con la concienciación y la educación dentro de tu empresa. Con la visión y el liderazgo adecuados, un CEO puede crear el ambiente adecuado para ayudar a poner en marcha estos procesos. Aunque es necesario tomar medidas críticas dentro de la organización, es probable que también necesites contar con recursos fuera de ella. Para asegurarte de que conoces el riesgo que corren tus datos en todo momento, tu organización tendrá que considerar también la posibilidad de poner en marcha un sistema de gestión de terceros. Juntos, estos sistemas pueden ayudar a tu PYME a crear sólidas prácticas de ciberseguridad que rivalicen con la fuerza de cualquier empresa.