Por qué su cadena de suministro es un riesgo cibernético es una calculadora central de bitcoin a dólar de seguridad

A menudo, lo que queda fuera de la discusión son los proveedores de los que depende una empresa para cumplir su misión diaria. En otras palabras, nuestra cadena de suministro cada vez más compleja e interconectada. La dependencia de los servicios y productos digitales significa más personas que tienen acceso a datos sensibles y que tienen la capacidad de causar una violación de datos. Si bien el flujo libre de datos ha permitido a las empresas aumentar la eficiencia en las últimas décadas, también ha aumentado la superficie de amenazas.

El año pasado, cuando el ransomware global NotPetya / Petya lo logró, convirtió a un proveedor de servicios digitales, MeDoc, en un vector para propagarse. Las víctimas se vieron afectadas cuando su software de contabilidad MeDoc se estaba actualizando y se transfirió un archivo infectado del actualizador a sus redes. El resto es historia reciente como la segunda ola de un ciberataque global. Riesgos principales de la cadena de suministro

Además del riesgo de error humano inherente en todas las organizaciones, también existe el problema de que algunos proveedores tengan prácticas de seguridad de la información terribles. Estos son problemas que se encuentran con la tecnología de seguridad inadecuada, la falta de mejora de procesos, la falta de políticas centradas en la seguridad. Cualquier proveedor que tenga prácticas de seguridad deficientes agrega una amenaza significativa a tu organización.

Si bien esto puede parecer similar al punto anterior, la diferencia se encuentra entre el producto vendido y el sistema de la organización en sí. Una empresa puede tener una red comprometida pero su producto puede estar bien, y lo contrario es cierto. Además, NIST ha mencionado el software de gestión de proveedores utilizado por los proveedores o usted mismo puede tener sus propias vulnerabilidades.

Puede obtener un individuo, pero el premio mayor para un delincuente cibernético es hacer que una organización adquiera y use el hardware malicioso. En este momento, por ejemplo, los precios de una tarjeta de video están inflados debido a la bitcoin apresurarse, para que las organizaciones puedan buscar atajos. En 2015, se descubrió que el malware podía ocultarse por completo en las tarjetas de video. En este momento sería un gran momento para que los ciberdelincuentes aprovechen las organizaciones que buscan partes con descuento.

Esta área de riesgo incluye servicios como Google Drive y Dropbox, pero aún más incluye el aumento de los servicios de seguridad recientes. Desde el surgimiento del ransomware, ha habido terceros que ofrecen protección de ransomware, que son esencialmente servicios de almacenamiento. Cualquier organización que agregue o almacene datos confidenciales es un riesgo adicional que puede comprometer su organización. Las mejores prácticas para una cadena de suministro segura

Si hay reuniones de ciberseguridad en una compañía, a menudo puede ser entre los gerentes principales: CIO, CMO, COO, RR. HH., CFO, y por supuesto el CEO. Desaparecido de la conversación es a menudo el Oficial de Adquisiciones / Contratación cuyo equipo a menudo es el enlace entre su empresa y todos sus proveedores. Sin la adquisición allí para comprender los riesgos para la seguridad de la empresa, puede que no se traduzca bien en lo que respecta a la implementación. Incluso si no tiene ningún dedicado a la garantía de la información o amenazas internas, traer al oficial de adquisiciones puede mitigar las amenazas internas de los proveedores.

Asegurarse los proveedores están restringidos al acceso mínimo absoluto necesario para realizar las tareas necesarias en sus redes. Si son proveedores de hardware, asegúrese de que no tengan acceso a los sistemas de control. La cantidad de proveedores que requieren acceso debe ser limitada, solo subcontratar si no puede hacerlo usted mismo. Por supuesto, esto es parte de un programa de administración de proveedores que debería desarrollarse en su organización si aún no tiene uno.

Los programas de administración de proveedores son una serie de procesos de seguridad diseñados para la rendición de cuentas y el monitoreo entre su organización y los proveedores con los que trabaja. Si bien muchas organizaciones tienen algún tipo de gestión de sus proveedores, a menudo el caso es que no se basan en el mantenimiento de la seguridad y la integridad de los datos. Los programas de administración de proveedores constan de cuatro fases distintas: definición, especificación, controles e integración.

La segunda fase se refiere principalmente a la designación de un enlace de seguridad. El enlace podría ser alguien de compras pero debe tener conocimiento de ciberseguridad. El enlace de seguridad actuará como intermediario para su organización y los proveedores a los que están asignados. Sus responsabilidades son mantener el cumplimiento, realizar auditorías, facilitar las comunicaciones de seguridad, proporcionar capacitación de seguridad, rastrear toda la documentación del proveedor y la supervisión general del proveedor.

Los controles son lo que los proveedores deben seguir para involucrarse en cualquier tipo de negocio con usted. Sus controles deberían incluir como mínimo: el derecho a auditar los controles de seguridad, el requisito de que el proveedor cumpla con el monitoreo, informe de rendimiento de seguridad y notificación oportuna de cualquier Violacíon de datos. Algunos de estos controles pueden ser necesarios para normativas como HIPAA, por lo tanto, asegúrese de que su política de control esté en línea con el cumplimiento normativo que debe cumplir.

Es importante asegurarse de que ya cuenta con algún tipo de programa de seguridad contra amenazas internas en su organización. La seguridad de la cadena de suministro deberá integrarse con las políticas de seguridad existentes y los procedimientos de auditoría. No debe basar su programa de seguridad en el proveedor programa de gestión solo. Este es un trabajo que requerirá la coordinación del Oficial de Adquisiciones, el COO y el CIO.

Las cadenas de suministro mejoradas de datos modernos representan un mayor riesgo de suministro en el pasado. Esto se debe principalmente a todas las personas implicadas que tienen la responsabilidad de proteger informacion delicada. Incluso si una organización tiene la mejor tecnología disponible en su organización, siempre será una persona la que provoque la violación de datos. Asegúrese de incluir su cadena de suministro en sus evaluaciones de riesgos.

banner