Ante amenazas cada vez más sofisticadas, las compañías dedican grandes esfuerzos a colaborar con sus proveedores para garantizar altos estándares de ciberseguridad a lo largo de toda la cadena.
El número de ciberataques registrados no deja de crecer desde la pandemia y la industria ha tomado conciencia de la necesidad de prepararse para lidiar con estas amenazas.
De hecho, la ciberseguridad ya es una de las diez principales preocupaciones globales para empresas y gobiernos, según advertía el Foro Económico Mundial a comienzos de este año.
El tradicional enfoque reactivo ya no es suficiente: ahora las empresas tienen que anticiparse para tomar medidas efectivas y deben trabajar de la mano de sus proveedores para garantizar la seguridad en toda la cadena de suministro.
Los riesgos son mayúsculos: un ataque puede llegar a comprometer su integridad y poner en peligro la confidencialidad de sus datos más sensibles. Estos desafíos se abordaron en el encuentro Ciberseguridad en la cadena de suministro, que organizó EXPANSIÓN con la colaboración de Siemens.
Colaboración
“Hacemos una evaluación de riesgos de todos nuestros proveedores: desde 2019 cada contrato debe incluir un anexo o cláusulas sobre ciberseguridad”, explicó Pedro Martín Giral, global security operation center manager de Siemens.
Las particularidades cambian según el perfil de cada proveedor, pero la transparencia se mantiene como un factor clave.
Siemens eligió a España en 2020 como uno de sus principales hubs de ciberseguridad mundial, junto a otros países como Alemania, Portugal y Estados Unidos. Desde este hub, que suma más de 100 empleados y prevé aumentar su plantilla en un 15% hasta 2024, da servicio a 40 fábricas en 11 países.
Mario Andrés, CISO de Mercadona, apuntó que la compañía trabaja con alrededor de 3.000 proveedores, de los que casi 300 son informáticos.
“Para protegernos ante los riesgos de la cadena de suministro, apostamos por establecer una relación muy estrecha con nuestros proveedores”, dijo Andrés. Para ello, hizo hincapié en la formación interna de los equipos de compras y coincidió en que la transparencia resulta esencial para actuar con rapidez ante posibles incidentes.
Como puntualizó Joaquín Castellón, CISO de Navantia, “ahora la mayoría de los ataques llega a partir de la cadena de suministro. Es más sencillo atacar a una gran compañía a través de uno de sus proveedores, que quizá no tengan tantas medidas de seguridad como ella”. En el caso concreto de Navantia, Castellón comentó que la empresa debe hacer frente a unos estándares especiales de seguridad por el hecho de manejar información clasificada, establecidos por la Oficina Nacional de Seguridad (ONS) y el Centro Criptológico Nacional (CCN).
Pese a que la concienciación sobre la seguridad en la cadena de suministro ha aumentado en los últimos años, la falta de una normativa armonizada a escala global hace que el punto de partida plantee desafíos para aquellas organizaciones que operan en distintos países.
Así lo indicó Eduardo Pérez Gancedo, CISO de Grupo TSK, que subrayó que “analizamos las anomalías en el comportamiento de cada uno de los activos que forman parte de un proceso para identificar posibles vulnerabilidades”.
Una de las mayores dificultades para las compañías es la heterogeneidad del abanico de proveedores, donde coexisten grandes y pequeñas empresas.
“Tenemos una serie de herramientas internas para hacer el análisis de proveedores, que guardamos en una base de datos y nos sirve para estudiar futuros proveedores con características similares”, afirmó Pedro Martín Giral.
Una de las tecnologías que utiliza Siemens es OT Security Appliance (OSA), un software que localiza todos los componentes conectados a la red en una planta para supervisarlos y emitir alertas en caso de anomalía.
“Entre los grandes proveedores sí existe una fuerte concienciación en materia de ciberseguridad, pero en las pymes y micropymes resulta más complicado”, reconoció Eduardo Pérez Gancedo. Por ello, el CISO de Grupo TSK consideró que “debemos ejercer un efecto tractor y acompañarlas en este camino pendiente de recorrer”.
Joaquín Castellón confirmó que “la ciberseguridad es un deporte de equipo: si no colaboramos todos, no ganaremos”.
En este sentido, el responsable de Navantia sugirió que “sería importante tener ayudas para que todas las empresas alcancen estos estándares y evitar que se generen desventajas competitivas”.
Por último, los expertos coincidieron en que la comunicación es fundamental tanto hacia dentro como hacia fuera de las compañías. Como concluyó Mario Andrés, “podemos aportar mucho valor desde la formación hasta la concienciación”.
ASÍ ATACAN LOS ‘HACKERS’ A LAS EMPRESAS
“Recibimos ataques constantes y de todo tipo durante las 24 horas del día. Aunque resulte sorprendente, uno de los principales vectores de entrada sigue siendo el ‘phishing”, comentó Pedro Martín Giral, ‘global security operation center manager’ de Siemens.
De este modo, aquellos ataques que requieren un error humano todavía son los más efectivos. Cada vez más dirigidos y sofisticados, los ciberdelincuentes estudian el perfil de sus objetivos y construyen correos electrónicos o documentos altamente convincentes.
Por otra parte, las amenazas internas constituyen otro de los principales focos: a menudo ocurre con empleados que son sobornados, chantajeados o incluso que están descontentos con la compañía. Martín Giral destacó que “es fundamental gestionar de forma adecuada el acceso a distintos niveles de información y dotarse de tecnologías de estudio del comportamiento habitual en los empleados para detectar pautas extrañas”.
Mario Andrés, CISO de Mercadona, se mostró de acuerdo en que “hay ataques todos los días y el ‘phishing’ es el principal: está cada vez más desarrollado. La capacidad de recabar información para tratar de engañar al usuario no deja de mejorar”. Ante ello, las empresas abogan por formar y concienciar al empleado para que sepa cómo actuar cuando se vea en esta tesitura.
“La clave para mitigar este riesgo es la concienciación: hay que advertir al usuario acerca de las amenazas y aprender de todos los ataques que se han venido registrando en el ámbito industrial, donde el foco inicial casi siempre ha estado sobre el usuario”, comentó Eduardo Pérez Gancedo, CISO de Grupo TSK.
En definitiva, “las personas somos el eslabón más débil y la principal vía para entrar en una empresa”, avisó Joaquín Castellón, CISO de Navantia, que recalcó que los ataques basados en la ingeniería social suelen ser los más problemáticos.
Expansión España
