La cadena de suministro, la vía de acceso más atractiva para los hackers

Más compañías se muestran inquietas por la posibilidad de que sus sistemas se vean comprometidos gracias a un ataque en su cadena de suministro.

La cadena de suministro se ha convertido en la vía principal por la que acceden los ciberdelincuentes a los sistemas de una compañía. De esto parece ser consciente una mayoría de empresas, como muestra que un 90% reconoce estar preocupada por la protección de sus proveedores y de la cadena de suministro en general aunque no hayan sufrido ninguna intromisión. 

Según datos de la consultora PwC, cada vez son más las compañías que se muestran inquietas por la posibilidad de que sus sistemas se vean comprometidos gracias a un ataque perpetrado en su cadena de suministro y/o proveedores, a pesar de que todavía no se hayan visto en esa situación. 

De acuerdo con el estudio, las pequeñas y medianas empresas (pymes) son las más perjudicadas, ya que son, a ojos de los hackers, el punto más vulnerable de la cadena. Lo corrobora que un 37% de pymes haya sufrido un ciberataque en el último año. 

“Los ciberdelincuentes, para atacar a las grandes empresas, lo hacen a través de sus partners de confianza, normalmente pymes”, explica Rosario Piazza, CEO de Fullstep, empresa especializada en digitalización del proceso de compras, aprovisionamiento y cadena de suministro. 

“Muchas de estas empresas no se encuentran correctamente protegidas ni le dan la importancia necesaria, ya que ven las posibles amenazas de ciberespionaje y ciberterrorismo como algo que solo afecta a los países y a las grandes multinacionales”, indica. 

Para proteger la cadena de suministro, Piazza recomienda identificar lo que se quiere proteger, los riesgos de los diferentes proveedores y con qué procesos y metodologías se pueden abordar dichos riesgos. “Esta evaluación e identificación debe ser continua y constante para ayudar a que el proceso tenga buenos resultados”, señala. 

Además de contar con herramientas de rating y análisis de seguridad en tiempo real; cumplir con los estándares y normativas de seguridad – como el CISM, CEH, CRISC y CISSP-; y formación para los equipos.