Tim Roberts/Getty Images

Existe la necesidad urgente de que las empresas cuenten con sus departamentos de gestión de la cadena de suministro para luchar contra los ciberataques. Nuestra investigación indica que más del 60% de los ataques realizados en 2017 contra firmas estadounidenses que cotizan en bolsa se lanzaron a través de los sistemas de IT de proveedores y otros contratistas, en comparación con menos de una cuarta parte de los ataques en 2010. Algunos de los ataques de alto perfil contra grandes compañías, incluyendo Equifax, Netflix, Best Buy y Target, ocurrieron de esta manera.

Fíjese en el ataque de 2014 contra Target, que causó daños estimados de 162 millones de dólares (unos 138 millones de euros). Su proveedor era una pequeña empresa privada de climatización llamada Fazio. Después de que los atacantes se infiltraran en el cortafuegos (firewall) de Fazio y les robaran las credenciales, entraron en el sistema de Target.

Para mitigar este tipo de riesgo, las empresas deben tomar las siguientes medidas.

Introducir medidas de ciberseguridad en los contratos con terceros. Nuestra investigación señala que muchos profesionales de compras no consideran que las capacidades de ciberseguridad de los proveedores sean un factor importante en la selección o el desarrollo de los proveedores de primer nivel. Esto debe cambiar. Los departamentos de compras y de IT deben trabajar juntos para que suceda. Los proveedores clave deben de cumplir con los estándares de desempeño y capacitación que deben evaluarse periódicamente para asegurarse de que los están cumpliendo. Las empresas pueden diseñar sus propios estándares o usar otros ya existentes como los del Reglamento General de Protección de Datos (RGPD) o el del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés).

Creemos que las prácticas de ciberseguridad de un proveedor deben ser abordadas de forma similar a su calidad o desempeño de entrega. Si uno no puede alcanzar niveles de rendimiento suficientes, los responsables del suministro deben de estar autorizados para acabar con la relación.

Limite el acceso de los proveedores a los sistemas de IT. Al trabajar con el departamento de IT, los responsables del suministro deben limitar de forma mucho más estricta el acceso de los proveedores a los sistemas de compra de la empresa. Después deben segmentar a los proveedores en función de cuáles necesitan acceder a según qué partes de los sistemas administrativos de la empresa (por ejemplo, administración de almacenes, inventario o punto de venta). Aquellos proveedores a los que se debe permitir tener un acceso más profundo en la red se clasificarán como nivel A y los responsables de suministro se asegurarán de que estén acreditados y monitoreados en consecuencia.

Target y Walmart trabajaron con el proveedor de HVAC, aquel que los hackers utilizaron para atacar a Target. Sin embargo, Walmart salió ileso porque había categorizado apropiadamente a sus proveedores y había limitado el acceso que este proveedor tenía a su sistema de back-office.

Trabaje con su competencia. Los atacantes tomarán el camino más fácil que genere el mayor pago posible. En consecuencia, a menudo se centran en los proveedores que están vinculados a múltiples empresas que albergan datos valiosos. Los datos de ubicación del teléfono móvil de los usuarios de AT&T, Sprint y Verizon se vieron comprometidos por un error en el sitio web de LocationSmart, un proveedor de las tres compañías. Otras empresas, incluidas Starwood y Hilton Hotels, perdieron los datos de sus clientes cuando se comprometió su sistema de punto de venta común (la plataforma Micros de Oracle).

La lección: en lugar de regular a los proveedores individualmente, los responsables de a colaborar con sus iguales en la competencia para generar estándares de seguridad a escala industrial. Cualquier proveedor que desee realizar negocios con los líderes de la industria tendría que cumplir con ellos. Los competidores incluso podrían considerar llevar esta cooperación un paso más allá e implementar programas a través de los cuales compartan las calificaciones de seguridad de los proveedores y señalen posibles problemas.

Responsabilice a los directores. Para ayudar a garantizar que estas actividades tengan éxito, la alta gerencia debe responsabilizar a directores de suministro por los resultados. Tradicionalmente, las métricas de rendimiento clave de los profesionales de suministro compras han girado en torno a la reducción de costes, la calidad y la garantía de un suministro continuo. No se les ha incentivado para hacer que la ciberseguridad del proveedor sea una medida clave en las tarjetas de puntuación de los proveedores o en el proceso de selección de proveedores. Tendrían que hacerlo.

La adquisición debería estar en primera línea en la batalla contra los ataques cibernéticos. Deben estar capacitados para tomar en serio la seguridad cibernética al igual que lo hacen con la calidad, sostenibilidad y entrega confiable. Pueden y deben jugar un papel importante en el esfuerzo por mantener a las compañías a salvo.