Cal entendre la seguretat informàtica com una cadena en la que les empreses han de col.laborar. Els errors d’uns acaben afectant els altres. T’expliquem què és la cadena de subministrament digital i perquè és clau vetllar la seguretat dins i fora de l’empresa.

En l’àmbit de la seguretat informàtica hi ha molts fronts a tenir en compte que comprenen des dels sistemes informàtics propis fins a les persones dels nostres negocis i organitzacions. Però més enllà del que està directament a les nostres mans, les mesures que prenen els nostres clients i proveïdors també ens poden afectar de forma directa. I al mateix temps, tot allò que no fem bé pot acabar afectant aquesta “cadena de subministrament digital” (clients i proveïdors) que utilitzem per gestionar el nostre negoci.

Amenaces que provenen de l’entorn

Fa unes setmanes vam saber que havien robat grans quantitats de dades de clients del Banco Santander i de Ticketmaster, cosa que comprometia un nombre molt important de persones que utilitzen aquests serveis. Segons un estudi que va analitzar aquests dos atacs sembla que l’origen del problema estava en l’ordinador d’un empleat de l’empresa que proveeix serveis d’emmagatzematge de dades d’aquestes dues empreses.

La dimensió d’aquestes dues empreses pot fer-nos pensar que aquest tipus d’incidents no són una amenaça per organitzacions més petites, però res més lluny de la realitat. En la cadena de subministrament que comentàvem abans hi acaben intervenint, directa o indirectament, empreses de volums molt diversos i sovint l’estratègia dels grups criminals passa per detectar febleses en alguna empresa de la cadena.

Creacció ha estat realitzant un pilot per validar un model d’auditoria bàsica de seguretat per petites empreses i un dels riscos que s’han detectat amb més freqüència són formularis que donen accés a espais tipus “intranet clients”, és a dir, espais del web on clients i proveïdors poden generar comandes, veure l’estat d’encàrrecs, etc. Aparentment no ens ha de suposar un problema.

Però què passa si la tecnologia del servidor que allotja aquell web no està actualitzada? I si la tecnologia amb la qual es va programar el sistema de login té ja uns anys? És més fàcil del que sembla que algú pugui obtenir les dades d’aquell espai, unes dades que ens pot semblar que no interessen a ningú, però que en realitat són de molt valor per algú que vulgui comprometre els sistemes d’un client o proveïdor. Un simple llistat de noms de persones i la seva posició a l’empresa pot facilitar que algú es faci passar per un col·laborador que demana unes dades de valor, ordeni un moviment de diners, etc.

El nostre compromís amb la seguretat de les dades té conseqüències, doncs, dins i fora de l’empresa. A partir de setembre s’obrirà a les petites empreses la possibilitat de realitzar aquesta avaluació de l’estat de la ciberseguretat i així poder identificar mesures de millora.

10 punts a tenir presents si abordem la seguretat en el context de la cadena de subministrament digital

1. Avaluació de riscos del proveïdor. Realitzar auditories i avaluacions de seguretat regulars dels proveïdors, i classificar-los segons el nivell d’accés i risc.

2. Contractes i acords. Incloure clàusules de seguretat específiques i definir clarament les expectatives de seguretat en els contractes amb els proveïdors.

3. Accés i control de dades. Limitar l’accés dels proveïdors a la informació necessària i mantenir les dades sensibles segregades.

4. Monitoratge i auditoria contínua. Implementar solucions de monitoratge en temps real i realitzar auditories periòdiques per detectar vulnerabilitats.

5. Encriptació i protecció de dades. Encriptar dades sensibles en trànsit i en repòs, i aplicar controls addicionals per a la informació crítica.

6. Gestió d’Incidents. Desenvolupar i provar plans de resposta a incidents, i establir un procés clar de notificació d’incidents de seguretat.

7. Formació i sensibilització. Proporcionar formació en seguretat als empleats i proveïdors, i promoure una cultura de seguretat.

8. Tecnologies i eines de seguretat. Utilitzar eines de gestió d’identitats i accessos (IAM) i solucions de seguretat per protegir dispositius i sistemes dels proveïdors.
   

9. Revisions regulars de tercers. Contractar avaluacions de seguretat externes i fomentar certificacions de seguretat reconegudes per als proveïdors.

10. Avaluació contínua i millora. Realitzar re-avaluacions periòdiques dels riscos i la seguretat, i establir un procés de millora contínua de les polítiques i pràctiques de seguretat.