Las cadenas de suministro de las Tecnologías de Información y Comunicación (TICs) serán blanco de ataque de los ciberdelincuentes en 2023, poniendo en riesgo la estabilidad no solo de grandes corporaciones como objetivo final, sino también alrededor de 5.5 millones de establecimientos en México, cuyos servicios y operaciones en línea podrían ser vulnerados por la falta de inversión en su infraestructura digital, advirtió IQSEC.
“Las consecuencias de los ataques a las cadenas de suministro de las TICs serán cada vez más graves, desde interrupciones operativas hasta multas o pérdidas de ingresos, con la dificultad añadida de que costará más detectar los incidentes”, destacó Manuel Moreno Liy, chief security sales enablement officer de IQSEC, empresa líder en ciberseguridad e identidad digital.
En su estudio, “Ciberdefensa y Ciber-resiliencia efectiva para infraestructuras críticas y cadenas de suministro”, IQSEC menciona que los principales ciberataques reportados se efectúan a la tecnología, a la red informática, al entorno de TI y a los sistemas de correo electrónico de proveedores, todos ellos, con la mirada puesta en la organización como su objetivo final.
“No se pueden omitir los ataques de ransomware, los cuales se están convirtiendo en una amenaza que crece peligrosamente, ya que están siendo usados por ciberdelincuentes y por hacktivistas, en general, para crear efectos disruptivos en la economía y el ámbito social de un país”, explicó el especialista en ciberseguridad.
De hecho, según el ESET SMB Digital Security Sentiment Report 2022, los principales retos en materia de ciberseguridad de las Pymes son mantenerse al día de las ciberamenazas (54%), seguir el ritmo de los avances y tecnologías (50%) y la falta de inversión en ciberseguridad (49%). Otros motivos de preocupación son la falta de conocimientos, la sobrecarga de trabajo de los equipos, el cansancio por las alertas y la falta de apoyo de los directivos.
Ante ello, IQSEC, con una experiencia de más de 15 años, sugiere la implementación de un plan de ciberdefensa y ciber-resiliencia efectivo e integral con un enfoque en gestión de riesgos del ecosistema de las cadenas de suministro de las TICs.
Por lo anterior, aseveró que el plan de ciberdefensa y ciber-resiliencia de las pymes debe basarse en cinco pilares:
segmentación de terceros para cuantificar el riesgo
aplicación de un marco de controles sustentado en estándares establecidos
inclusión de requisitos de seguridad básicos en cada solicitud de propuesta y contrato
revisión de higiene de ciberseguridad para los socios de negocio
evaluación de la eficacia de la gestión de riesgos de seguridad de la cadena de suministro
Por último, las organizaciones finales, como principales responsables, deben evaluar constantemente si sus cadenas de suministro son ciberseguras, documentando el inventario completo de las aplicaciones y los sistemas críticos de TI, OT, IoT, IIoT, ICS, SCADA y los procedimientos específicos de planificación, respuesta y recuperación de los activos de información en su poder.
