Ciberseguridad para Cadenas de Suministro: ¡Urge!

En un memo con membrete de la Casa Blanca fechado el 2 de junio de 2021, dirigido a ejecutivos corporativos y líderes empresariales por parte de la oficina de la asistente adjunta del presidente, y asesora adjunta de seguridad nacional para tecnología cibernética y emergente, Anne Neuberger, comunica: “Lo que le recomendamos que haga para protegerse contra la amenaza del ransomware”.

Lo que esta misiva nos transmite es que la ciberseguridad para cadenas de suministro adquiere un carácter de urgente. Si bien el memo es dirigido a las empresas en EE.UU. la interdependencia que existe en materia de seguridad con las empresas internacionales en México aplica para todo el entorno de la manufactura, el transporte, el almacenamiento, tramitación aduanal y puertos que operan en el entorno del comercio internacional que tiene origen y tránsito por México.

Trasladándolo al contexto del comercio y el ambiente informático en México, todos los actores del comercio internacional, es decir, desde las figuras legales hasta los empleados del nivel básico o elemental, deben estar enterados de la paradójica amenaza que representan las “virtudes” de comunicación informática que nos ha proporcionado el progreso.

Desde sus inicios, la materia de seguridad para cadenas de suministro proponía conceptos de seguridad en informática, esto es, antes de que siquiera se adoptara el concepto de ciberseguridad (en los criterios CTPAT, por ejemplo), sin embargo, esto se limitaba a reglas básicas de resguardo de información que hoy día no mitiga los riesgos debido al avance del conocimiento que está siendo utilizado para fines delictivos.

Hemos estado asumiendo riesgos que, según el paradigma aceptado, son inherentes a la operación. La llegada del correo electrónico representó un salto cuántico en la agilización de las comunicaciones para la tramitación aduanal y demás operaciones de comercio, sin embargo, actualmente no hemos asignado un tiempo de realizar una evaluación que nos indique, por ejemplo, por cuántas “personas” pasó la información sobre nuestras facturas, rutas, pedimentos, tiempos de entrega y hasta condiciones de pago, desde quien recibe un pedido, pasando por las áreas de embarques, caseta de salida de la instalación, el operador u operadores logísticos que nos apoyan en la distribución, transportistas, monitores externos de GPS, transporte de cruce en frontera, agentes aduanales, autoridades, y bancos; para luego preguntarnos ¿cómo es que opera la “ingeniera social”? Muy sencillo: en algún eslabón de la cadena se filtra la información, por lo cual no es fortuito que los robos de carga cada mes rompen récord en las carreteras de México.

El riesgo, empero, se ha ido aumentando más bien con la llegada de herramientas de comunicación como WhatsApp para las cuales la filosofía de nuestras políticas de seguridad no estaba ni siquiera en el consiente y los valores promovidos, pues ahora psicológicamente las personas operamos haciendo público todo lo que antes de la llegada de la era del nanosegundo estaba prácticamente prohibido: hablo de la indiscreción en los negocios o las estrategias de negocio para ser preciso.

El memo menciona puntualmente 5 recomendaciones, las cuales aquí las entrecomillamos de manera literal a fin de no desvirtuar el mensaje y sacarle el debido provecho a esta ventana comunicativa de T21:

1. Realice una copia de respaldo de sus datos, imágenes del sistema y configuraciones, pruébelos con regularidad y mantenga los respaldos fuera de línea: asegúrese de que los respaldos se prueben periódicamente y de que no estén conectadas a la red empresarial, ya que muchas variantes de ransomware intentan encontrar y cifrar o eliminar respaldos accesibles. Mantener los respaldos actuales sin conexión es fundamental porque si los datos de su red están cifrados con ransomware, su organización puede restaurar los sistemas.

2. Actualizar y aplicar parches a los sistemas de inmediato: esto incluye el mantenimiento de la seguridad de los sistemas operativos, las aplicaciones y el firmware de manera oportuna. Considere utilizar un sistema de administración de parches centralizado; utilice una estrategia de evaluación basada en riesgos para ejecutar su programa de administración de parches.

3. Ponga a prueba su plan de respuesta a incidentes: no hay nada que muestre más los puntos débiles en los planes que probarlos. Ejecute algunas preguntas básicas y utilícelas para crear un plan de respuesta a incidentes: ¿Puede mantener las operaciones comerciales sin acceso a ciertos sistemas? ¿Por cuánto tiempo? ¿Detendría su línea de producción, si un proceso como facturación, estuviera fuera de línea?

4. Verifique el trabajo de su equipo de seguridad: utilice los servicios de terceros para probar la seguridad de sus sistemas y su capacidad para defenderse de un ataque sofisticado. Muchos delincuentes de ransomware son agresivos y sofisticados y encontrarán el equivalente a puertas traseras de su sistema.

5. Segmente sus redes: Ha habido un cambio reciente en los ataques de ransomware, desde el robo de datos hasta la interrupción de las operaciones. Es de vital importancia que sus funciones comerciales corporativas y las operaciones de fabricación / producción estén separadas y que filtre y limite cuidadosamente el acceso a Internet a las redes operativas, identifique los enlaces entre estas redes y desarrolle soluciones alternativas o controles manuales para garantizar que las redes ICS se puedan aislar y continuar operando si su red corporativa está comprometida. Pruebe regularmente los planes de contingencia, como los controles manuales, para que las funciones críticas de seguridad se puedan mantener durante un incidente cibernético.

Nos estamos enfrentando a un hito en ciberseguridad para cadenas de suministro preocupante, que pone en un enorme riesgo la reputación y la marca de una empresa, pérdidas financieras e incluso a la seguridad nacional, es decir, es un ambiente multidimensional donde ninguna entidad de comercio puede estar ajena a esta prerrogativa que nos está anticipando nuestro vecino país y principal socio comercial por medio de los canales de comunicación de CTPAT; prerrogativa también adelantada por países de la Unión Europea donde la preocupación en esta materia ha sido más analizada y atendida aun, ciertamente para reflexionar en México.

Revisa mi columna anterior: Resetear cadenas de suministros

Víctor Chávez actualmente es el Director Ejecutivo del Clúster de Seguridad para el Comercio Internacional A.C.

Comenta en: vchavez@clusterdeseguridad.com

Sigue a T21 en Twitter: @GrupoT21