Recientemente el mundo despertó con la noticia de que una de las vacunas para el Covid-19 estaría pronto al alcance de la población, eso es sin duda una luz al final del túnel de este difícil 2020. Sin embargo, su distribución es más compleja de lo que podemos pensar, e implica riesgos cibernéticos que no debemos subestimar.
Gestionar los ciberriesgos en la cadena de suministro de una nueva vacuna implica varios puntos. Primero, se deben identificar los flujos de información actuales entre los diferentes actores de dicha cadena: organizaciones, infraestructura y protocolos de comunicación; así como la cultura de ciberseguridad de cada uno, entre muchos otros factores. Es decir, es necesario una valoración del estado actual de cada organización que formará parte de esta cadena de suministro, así como de las interfaces que se crearán en dicha cadena.
Esta valoración nos proporcionará información valiosa para implementar controles y así prevenir eventos no deseados, relacionados con errores humanos, negligencia, o acciones riesgosas de ciber amenazas internas o externas.
También, es indispensable realizar un análisis de las ciber amenazas alrededor de la cadena de suministro, es decir, identificar varios puntos como: cuáles serían los motivos para realizar un ataque, el objetivo y por qué medio se buscaría realizarlo; así como visualizar los escenarios no deseados que tentativamente se tendría.
¿Qué escenarios se podrían dar? Aquellos en los que el atacante destruye información o los sistemas que soportan los procesos de negocio de las organizaciones, también inhabilitan su acceso, o incluso alteran ciertos datos que darían resultados no reales en la ejecución de dichos procesos o incluso ejecutan transacciones falsas con pérdidas cuantiosas para las organizaciones.
En lo que va del año los compromisos de seguridad de muchas organizaciones han iniciado principalmente por ataques de phising vía correos electrónicos simulando mensajes usuales dentro de las mismas organizaciones. También sabemos que hay un efecto onda o ripple como resultado de un compromiso de una organización inicial y se propaga hacia toda la industria y otras organizaciones con las cuales tiene relación la empresa comprometida.
Entonces, las organizaciones susceptibles a ciberataques no son solamente las que participarán en nuevas cadenas de suministro, sino también aquellas que proporcionan insumos de información, personal, o subcontratan para ejecutar procesos de negocio de procesamiento de información, almacenamiento, monitoreo, y muchos otros que podrían estar en contacto directo o indirecto en la cadena de suministro.
Derivado de lo anterior, el factor tiempo también tiene sus implicaciones, en caso de que no se implementen de forma preventiva los controles tecnológicos, procesos, y las capacitaciones del personal, en relación a la gestión de riesgos de ciberseguridad, el compromiso de las organizaciones que participarán de la cadena de suministro de medicinas estarían expuestas a varios riesgos cuya detección de una brecha podría implicar meses o hasta varios cientos de días.
Generalmente, las organizaciones no cuentan con segmentación física y lógica de sus procesos de negocio por cada uno de sus clientes, por lo que si un proceso en relación a la atención al cliente es comprometido, es muy probable que otros procesos también se vean afectados.
Pero, ¿qué podemos hacer para tratar de mejor forma estos riesgos y lograr una ciber resiliencia? Se debe implementar un estándar de cumplimiento sobre los controles mínimos necesarios de administración de amenazas y vulnerabilidades, y así establecer relaciones de confianza basadas en niveles de seguridad. Si bien, esto es necesario pero no suficiente, nos permite conocer cuáles son los eslabones más vulnerables en dicha cadena de suministro y tomar acción vía planes de remediación.