En el año 2023, se espera que las cadenas de suministro de las Tecnologías de Información y Comunicación (TIC) sean objeto de ataques cibernéticos, lo que pondrá en riesgo no solo la estabilidad de grandes corporaciones, sino también la de alrededor de 5.5 millones de establecimientos en México, cuyos servicios y operaciones en línea podrían ser vulnerables debido a la falta de inversión en infraestructura digital, explica Manuel Moreno Liy, director de habilitación de ventas de seguridad de IQSEC, empresa especializada en Ciberseguridad e Identidad Digital.
Moreno Liy añade que los ataques a las cadenas de suministro de las TIC tendrán consecuencias graves, desde interrupciones operativas hasta multas o pérdidas de ingresos, lo que dificultará su detección. En este sentido, IQSEC ha señalado que los principales ciberataques reportados se efectúan a la tecnología, a la red informática, al entorno de TI y a los sistemas de correo electrónico de proveedores, con la mirada puesta en la Organización como objetivo final.
Según Moreno Liy, en el contexto de las PyMES, los principales desafíos en materia de ciberseguridad son mantenerse al día de las ciberamenazas, seguir el ritmo de los avances y tecnologías, y la falta de inversión en ciberseguridad, según el ESET SMB Digital Security Sentiment Report 2022.
Ante este panorama, el especialista de IQSEC sugiere la implementación de un Plan de Ciberdefensa y Ciber-resiliencia efectivo e integral con un enfoque en gestión de riesgos del ecosistema de las cadenas de suministro de las TIC, basado en cinco pilares de seguridad de la información.
En última instancia, afirma, las organizaciones finales son las principales responsables de evaluar constantemente si sus cadenas de suministro son ciberseguras, documentando el inventario completo de las aplicaciones y los sistemas críticos de TI, OT, IoT, IIoT, ICS, SCADA y los procedimientos específicos de planificación, respuesta y recuperación de los activos de información en su poder.
Moreno explica que la empresa ha detectado que los ciberataques más comunes a las cadenas de suministro de las Tecnologías de la Información y la Comunicación (TIC) están dirigidos a la tecnología, la red informática y el entorno de TI del proveedor, así como al sistema de correo electrónico del proveedor, utilizando métodos como el phishing e inteligencia artificial, y el ransomware.
Añadió que las pequeñas y medianas empresas (PyMEs) son especialmente vulnerables a los ataques cibernéticos y, según el ESET SMB Digital Security Sentiment Report 2022, son las que menos invierten en su ciberseguridad. Para protegerse mejor, IQSEC recomienda aplicar cinco pilares de ciberseguridad: la segmentación de terceros, la aplicación de un marco de controles sustentado en estándares reconocidos, la inclusión de requisitos o cláusulas de seguridad básicos en cada solicitud de propuesta y contrato, la revisión periódica de la higiene de ciberseguridad para los socios de negocio y la evaluación de la eficacia de la gestión de riesgos de seguridad de la cadena de suministro.
Agregó que un plan de ciberdefensa y ciber-resiliencia efectivo es una estrategia de seguridad de la información que abarca la detección, la contención y la recuperación mediante soluciones de vanguardia como la plataforma de ciberseguridad de infraestructuras críticas, la plataforma antiransomware, Zero Trust Network Access, Gestión de Superficie de Ataque Externa (EASM) y DevSecOps.
Finalmente explicó que la segmentación de terceros es una técnica de gestión de riesgos cibernéticos que se lleva a cabo con base en el riesgo de seguridad y la importancia del negocio. Se trata de limitar el acceso que tienen los proveedores y terceros a los sistemas y datos de la empresa, estableciendo restricciones de acceso, monitoreo constante y evaluaciones periódicas de seguridad.