- Dado que la conectividad es la norma para las empresas y los datos en todas partes, la seguridad de la cadena de suministro es una parte crucial para garantizar una organización resiliente.
- Sin embargo, aunque la demanda de servicios siempre activos nunca ha sido tan alta, las cadenas de suministro nunca han sido más frágiles.
- Al adoptar las mejores prácticas y fomentar la cooperación de múltiples partes interesadas, las organizaciones pueden construir cadenas de suministro digitales más resilientes y seguras.
La transformación digital está revolucionando la industria, impulsando la innovación, optimizando las operaciones y elevando las expectativas de los clientes a nuevas alturas. Dado que las empresas se están volviendo más digitales por defecto, con la conectividad como norma y los datos en todas partes, la seguridad de la cadena de suministro es una parte crucial para garantizar una organización resiliente. Sin embargo, aunque la demanda de servicios siempre activos nunca ha sido tan alta, las cadenas de suministro nunca han sido más frágiles.
Los tiempos en los que las cadenas de suministro eran simples y lineales han terminado. La red de suministro digital de hoy en día es un lío enmarañado e hiperconectado, más parecido a un cajón lleno de cables anudados que a una cadena ordenada, donde casi todas las organizaciones son proveedoras y consumidoras de un producto y servicio. Si fuera una cadena, se rompería en varios lugares.
¿Por qué es tan difícil arreglar la seguridad de la cadena de suministro?
Hay varias razones por las que asegurar la cadena de suministro es tan difícil, y la complejidad y diversidad de los actores exacerban el desafío.
Sobrecarga de evaluación: Evaluar la seguridad de cada proveedor (o de usted mismo como proveedor) es difícil. La mayoría de las organizaciones carecen de los recursos para responder cuestionarios de seguridad personalizados para cada cliente.
Incentivos desalineados: Los proveedores rara vez ven la seguridad como una ventaja en el mercado. Los clientes presionan para reducir los costos, no para mejorar la seguridad. Los aspectos básicos de seguridad, como la aplicación de parches y la gestión de acceso, no impulsan las ventas de la misma manera que lo hace una nueva función de IA (y eso suele ser más fácil de hacer).
Falta de medidas cautelares: Los consumidores rara vez exigen una seguridad sólida, hasta que se produce una infracción. Para entonces, ya es demasiado tarde.
Introducción a la cadena de demanda
En pocas palabras, la gestión de la cadena de suministro es difícil de hacer y los incentivos del mercado están rotos. Pero como consumidor, no estás indefenso. Cada cadena de suministro tiene una cadena de demanda correspondiente: la red de usuarios que consumen la cadena de suministro. En teoría, la oferta sigue a la demanda, como el principio básico de la economía. Por lo tanto, si la demanda aumenta, la oferta se ajustará en consecuencia. Si la demanda cae, la oferta se reduce. ¿Y cuando la demanda supera a la oferta? Los precios suben.
Pero en la seguridad de la cadena de suministro, este principio parece romperse, incluso cuando los clientes quieren una mejor seguridad. ¿Por qué?
¿Cómo podemos arreglar la cadena de demanda?
La cadena de suministro ya es compleja y frágil, pero la cadena de demanda podría fortalecerla, si hay alineación, colaboración y requisitos estrictos para la cadena de suministro. Pero hay algunos problemas que hay que abordar primero:
El coste es el rey, no la seguridad, y todo el mundo espera que todos los demás paguen la factura: Los proveedores suministran lo que el mercado pide, mientras que los demandantes priorizan el costo y las características, no la seguridad, al elegir proveedores. A menudo, los demandantes esperan una línea de base de forma predeterminada o, y este es un problema más difícil de solucionar, no incluyen la postura de seguridad de una organización como criterio clave para evaluar a un proveedor. No se trata de un desdén deliberado por la seguridad; Está impulsado por la presión empresarial y, como el impacto no es inmediato, las organizaciones no creen que sea un problema o asumen que alguien más ya ha asumido el riesgo o la responsabilidad de cualquier posible deficiencia de seguridad.
La evaluación constante de los proveedores se nos escapa, necesitamos definir una línea de base común: Los demandantes no evalúan a los proveedores de manera consistente. Los demandantes adoptan enfoques no estandarizados similares pero diferentes para evaluar a los proveedores. Si bien puede haber mucha superposición, no hay requisitos de seguridad colectiva, un conjunto mínimo de referencia o una metodología común para la evaluación. En los esfuerzos duplicados, incluso cuando hay múltiples requisitos similares, cada demandante hace su propio trabajo para verificar a un proveedor. Este trabajo aburrido y redundante puede abordarse, al menos parcialmente, con un estándar técnico creado por consenso, pero el ecosistema parece no estar dispuesto a colaborar o ser incapaz de encontrar una línea de base común. Podría ser más eficaz si se abordara sobre una base vertical, pero la fragmentación es difícil. Los guardianes digitales y las plataformas dominantes también podrían asumir el papel de elevar la línea de base de higiene, pero corren el riesgo de comportamientos anticompetitivos y acusaciones de extralimitación.
La evaluación dinámica de proveedores también se nos escapa, debemos encontrar una forma sistémica común de lograrlo con poco esfuerzo: Los demandantes no han encontrado una manera de reflejar que la cibernética es dinámica. El monitoreo minuto a minuto del estado de un proveedor es excesivo, pero los cuestionarios anuales no logran transmitir el estado actual y cambiante de la seguridad en una organización. La lista de materiales de software (SBOM) y VEX son un comienzo para automatizar y comprender el riesgo y la exposición de manera consistente, pero una cadena de suministro es más que solo el software suministrado. Una evaluación más periódica de los proveedores podría dar lugar a una falta de profundidad en cada evaluación o requerir personal adicional, a menos que grandes partes de la evaluación estén automatizadas o estandarizadas para su repetibilidad y actualización periódica.
Las pymes son demasiado pequeñas para influir solas y el impacto en el ecosistema requiere escala: Las pymes no tienen el poder adquisitivo para exigir una mayor seguridad. Deben elegir entre lo que solicitan las organizaciones más grandes, lo que podría no funcionar para sus necesidades. Es difícil que las pymes se agrupen y pidan sus requisitos. Los gobiernos pueden poner en marcha el mercado con sus propios contratos para garantizar que las PYMES con limitaciones técnicas dispongan de capacidades sencillas listas para usar, pero se trata de un enfoque fragmentario que carece de resultados coherentes para las PYME.
La retroalimentación se siente opcional, necesitamos un ciclo de retroalimentación transparente y consistente: Los demandantes no retroalimentan a sus proveedores para influir en sus prioridades y hojas de ruta de seguridad. Si las políticas internas requieren la autenticación multifactor (MFA), puede imponer esta demanda a su proveedor en el momento del contrato. Esto comienza a dar forma a la dinámica del mercado: ahora hay un flujo de ingresos asociado con la implementación de MFA para ese proveedor. Esto puede convertirse en una bola de nieve, pero siempre existe el riesgo de que el proveedor considere que los ingresos no valen la pena.
Llamamiento a una acción holística, colaborativa y basada en el riesgo
Como consumidores, las organizaciones a menudo se resignan a que la seguridad de su cadena de suministro "sea simplemente como es". Pueden realizar un esfuerzo intensivo para arreglar ciertos aspectos, pero el problema a menudo parece demasiado grande, demasiado costoso y demasiado difícil de hacer solos. El esfuerzo colectivo parece ser la solución obvia, pero la coordinación también es difícil y la estandarización no existe. El ecosistema está inactivo.
Cuando un mercado no está funcionando para obtener buenos resultados de seguridad, puede ser "arreglado" por la oferta, la demanda o moldeando la dinámica del mercado a través de esfuerzos regulatorios. Cada una de esas correcciones tiene sus propios problemas (no es necesario mencionar el tapiz existente de regulaciones y dinámicas del mercado), especialmente si hay un enfoque excesivo en el producto final o en marcar casillas, en lugar de procesos y verdaderos impulsores de cambio. Sin embargo, la creación de un enfoque estandarizado para la evaluación, el aprovechamiento del poder adquisitivo para obtener mejores resultados o una regulación bien hecha, son todos incentivos, tangibles e intangibles, para hacer algo diferente, algo mejor.
¿Qué es lo más mínimo que nosotros, como comunidad de seguridad, podríamos hacer para crear una higiene básica en torno a la seguridad de nuestra cadena de suministro? ¿Cuáles son los criterios que los demandantes deben incluir en su proceso de pensamiento cuando eligen e interactúan con los proveedores?
A medida que las empresas avanzan hacia operaciones más digitales, la seguridad de la cadena de suministro se vuelve más importante y más desafiante. Abordar estos desafíos requiere un enfoque holístico, colaborativo y basado en el riesgo.
Para avanzar en estas áreas de investigación y preguntas, la iniciativa Cyber Resilience in Industries está reuniendo a las partes interesadas clave con cadenas de suministro de todas las formas y tamaños. Al adoptar las mejores prácticas y fomentar la cooperación de múltiples partes interesadas, las organizaciones pueden construir cadenas de suministro digitales más resilientes y seguras.