La ciberseguridad no es solo un problema de TI. Hay potenciales debilidades importantes en la cadena de suministro que deben abordarse, o los líderes de la cadena de suministro ponen a sus empresas en un riesgo significativo. Una cadena de suministro vulnerable a los ataques cibernéticos puede provocar interrupciones operativas críticas, daños significativos a la marca y la reputación, problemas de seguridad del producto, pérdida o robo de propiedad intelectual y un aumento sustancial de los costos por encima y más allá de las multas y tarifas. En los últimos años, los ataques se han dirigido a las cadenas de suministro en múltiples industrias y han afectado las operaciones de la cadena de suministro y los productos que producen.

Honda ASUS Merck Norsk Hydro. Maersk Mondelez FedEx. Industrias ASCO. Estas son solo algunas de las historias que conocemos. Es probable que haya otros que hayan sido menos publicitados.

Hay buena evidencia de que los ataques cibernéticos en la cadena de suministro están en aumento. Probablemente sea imposible cuantificar la tasa exacta de aumento de los ataques cibernéticos de la cadena de suministro. Pero están sucediendo y si se dirigen directamente a la cadena de suministro o si la cadena de suministro se convierte en un daño colateral debido a una interrupción más en toda la empresa, los líderes de la cadena de suministro están preocupados.

Que preocupado Sabemos por nuestro último estudio sobre el Futuro de la cadena de suministro que los «incidentes de seguridad de datos / TI» fueron la principal amenaza citada por casi 300 líderes de la cadena de suministro en comparación con todos los demás riesgos, y el 44% respondió que están «muy preocupados»

Afortunadamente, hay una dirección más detallada sobre cómo los líderes de la cadena de suministro pueden abordar sus preocupaciones de ciberataque. El Marco de Seguridad Cibernética (CSF) del NIST se actualizó a la v1.1 en 2018 para incluir la «gestión de la ciberseguridad dentro de la Cadena de Suministro». Esta actualización ahora brinda a los líderes de la cadena de suministro la oportunidad de trabajar junto con sus contrapartes de TI y Seguridad y Riesgo al proporcionar un común lenguaje y un plan en la protección de sus datos, productos y activos y operaciones conectados.

Al mismo tiempo, mientras la actualización NIST CSF ofrece orientación sobre el «cómo» de la protección, estamos comenzando a comprender más profundamente el «qué» está tratando de proteger esa cadena de suministro. Ahora tenemos datos cuantitativos significativos que nos dicen que los líderes están trabajando para mitigar los riesgos. Dada la complejidad y fragmentación de los vectores de amenaza, vemos una curva de despliegue definitivo en los enfoques de mitigación de riesgos. Cuando se les preguntó qué medidas estaban tomando para proteger su cadena de suministro del ciberataque, estos mismos líderes mencionados anteriormente respondieron que estaban tomando medidas en una variedad de frentes tecnológicos, funcionales y relacionados con la gobernanza. Si bien estos datos son alentadores porque vemos que la cadena de suministro avanza en el esfuerzo, al mismo tiempo, la gran mayoría de estos enfoques están actualmente en uso por menos de la mitad de los encuestados que encuestamos. Nos alienta el progreso que está haciendo la profesión, pero como muestran los datos, todavía queda mucho trabajo por hacer.

Nuestra última investigación Implemente estrategias efectivas de la cadena de suministro para fortalecer la ciberseguridad (disponible para los clientes de Gartner Supply Chain) explora estos temas con más detalle; destacando por qué creemos que estos ataques están en aumento y ofreciendo una serie de Mejores Prácticas para cada una de las etapas del NIST CSF, desde Identificar a través de Recuperación, que los líderes de la cadena de suministro pueden usar para combatir la multitud de amenazas potenciales.

La ciberseguridad es un problema para todos los procesos y capacidades empresariales con tecnología habilitada. Sin embargo, la cadena de suministro es independiente en cuanto al número de «traspasos» desde la materia prima hasta la entrega del producto o servicio o la atención al paciente. Todas las áreas funcionales de una cadena de suministro integrada de extremo a extremo (plan, fuente, fabricación, entrega y servicio al cliente) son puntos de contacto potenciales donde podrían ocurrir amenazas cibernéticas. Al igual que las conexiones a través de la cadena de suministro extendida con proveedores y clientes y pacientes. Y aunque hay grandes beneficios, por supuesto, para la automatización y la digitalización de procesos y productos, en conjunto, esto garantizará que la frontera del riesgo cibernético de la cadena de suministro continúe expandiéndose.