Red Seguridad 093

54 red seguridad segundo trimestre 2021 opinión nazas puede causar: un fallo en la pro- ducción o distribución de un producto o servicio; la introducción de vulnerabi- lidades en el hardware o software de la empresa que podrían ser aprovechadas en el futuro, o incluso la instalación de hardware o software falsificado. Hasta ahora, los riesgos de la cadena de suministro no se habían abordado o se gestionaban de forma inadecuada. Existe un riesgo a varios niveles. Pue- de venir a través del último peldaño de la cadena (por ejemplo, proveedores de componentes o desarrolladores de controladores) o de niveles más altos (por ejemplo, integradores y canales de distribución). ¿Por qué ahora deberíamos preocu- parnos mucho mas de los riesgos en la cadena de suministro? Porque, según un estudio del Club de Excelencia de Gestión, publicado el año pasado, el 47 por ciento de los ciberincidentes tiene su origen en la cadena de suministro. Son tres los motivos principales: en pri- mer lugar, por el aumento de proveedo- res debido a la transformación digital de las compañías; en segundo lugar, el 61 por ciento de las organizaciones tiene prestadores de servicios que se conectan a sus sistemas, y por ultimo, según el estudio, la información del 57 por ciento de las organizaciones se gestiona en equipos del proveedor. La pandemia ha exprimido las ca- pacidades tecnológicas, ha puesto al límite a los operadores de telecomu- nicaciones y la capacidad de las in- fraestructuras de procesamiento. Son millones los servicios tecnológicos y de infraestructuras que se han puesto en marcha en tiempo récord, y no siempre se ha podido cumplir con los requisitos técnicos y mucho menos de cibersegu- ridad. Esto ha disparado los incidentes tecnológicos, intencionados y no inten- cionados en estos meses. Cisnes negros El pasado 10 de marzo, OVH, la ma- yor empresa europea de hosting , tuvo un incendio en uno de sus centros de procesamiento de datos (CPD), con 30.000 servidores afectados. En un CPD hay sensores y sistemas de super- visión precisamente para evitar estos desastres, pero a día de hoy OVH no se ha recuperado del todo. La fuerte digitalización en la que están inmersas todas las empresas, incluidas las indus- triales, van a traer cisnes negros, como el sufrido por OVH. Debemos estar preparados frente a escenarios de cisnes negros que sufri- rán nuestros proveedores. En el caso concreto de OVH, miles de clientes han perdido una enorme cantidad de datos al no disponer de una copia de seguri- dad fuera del propio CPD, lo cual sucede en muchas organizaciones industriales. Esta es una de las recomendaciones que encontrará en la nueva guía de ciberseguridad en la cadena de sumi- nistro de la digitalización industrial que ha publicado el CCI este año (podrá acceder a ella en www.cci-es.org/publi- caciones). La guía incluye tres grandes cuestiones que debe plantearse una or- ganización para gestionar el riesgo de terceros: ¿Tengo un inventario completo de proveedores y terceros que tienen acceso a mis datos de operación o información? ¿Cómo espero que estas compañías gestionen y protejan mis datos? ¿Cómo controlo a los proveedores para asegurarme de que cumplen las expectativas? Ciclo de la cadena de suministro entre el suministrador y el cliente final, y acciones a efectuar.