Llegamos a ustedes gracias a:



Reportajes y análisis

Amenazas de seguridad de la cadena de suministro

Cinco Fuerzas que cambian las reglas del juego

[04/03/2010] Como todo CSO sabe, no es suficiente ocuparse de sus propios asuntos. Tiene que atender también a sus socios de negocios a lo largo de todos los enlaces que se conectan a su cadena de suministro -ya sea que esa cadena sea física o virtual-. Y eso se duplica en tiempos de cambios rápidos y mucho estrés.

"El ambiente de las amenazas está cambiando constantemente", señala Ryan Brewer, CISO de los Centros de Medicare y Medicaid Services. "Algunas veces es difícil dar en el blanco con lo que es más importante". 
¿Quién habría pensado hace tres años que la piratería en la cadena de suministro sería una preocupación tan grande? Algunas veces la gran inquietud es el terrorismo, algunas veces los desastres naturales, y últimamente es el malware. Aquí están las cinco principales fuerzas que según los CSO tienen el mayor potencial para causar estragos en sus cadenas de suministros y cambiar las reglas de juego. 
Fuerza No. 1: Eventos 'Cisne Negro'
Como explicó Nassim Nicholas Taleb en su libro del mismo nombre del 2007, el término "cisne negro" se refiere a un evento que tiene un gran impacto, es difícil de predecir y raro. Los cisnes negros no necesitan ser negativos (como en el caso del 11 de septiembre) y pueden presentar momentos de grandes oportunidades, pero los CSO legítimamente pasan su tiempo preocupándose sobre el antiguo escenario. 
Cuando se refiere a la cadena de suministro, los eventos de cisne negro pueden incluir de todo, desde climas desastrosos, hasta pandemias globales o ataques terroristas. El problema es que si se prepara para la preocupación del día, podría quedar expuesto en otros frentes. Un ejemplo claro: la gripe aviar. Advertidos que una epidemia a gran escala de gripe aviar asiática podía poner en riesgo las cadenas de suministro, los negocios globales se prepararon para lo peor. Los ejecutivos discutieron cómo la cadena de suministro podría ser afectada si la gripe estallaba en China. Sus planes descansaban en transportar y almacenar materiales en otros lugares alrededor del mundo. 
Luego, a principios del año pasado, la gripe H1N1 estalló en México y se expandió rápidamente a a regiones inesperadas como Australia. "Las compañías tuvieron que reevaluar sus planes porque estaban basados en escenarios específicos", señala Adam Sager, administrador senior de consultoría en continuidad de negocios en Control Risks, una firma de consultoría de seguridad en Washington. Esta fue una enorme llamada de atención. "Las compañías se dieron cuenta de que necesitaban prepararse mejor para eventos inesperados y aumentar su conocimiento de cómo podrían ser impactadas sus organizaciones. Si algo está surgiendo globalmente, ellos necesitan actuar antes de que afecte su cadena de suministro", señala Sager.
Cuando una crisis impacta -sin importar dónde en el globo- necesita ser capaz de entender y evaluar la situación usando un país de primera mano -e información específica de la ubicación-, señala Sager. Y necesita una comunicación bidireccional entre los administradores de crisis y los sitios donde está ocurriendo el evento. Sager anota que las compañías están descubriendo brechas entre sus planes de crisis y sus operaciones. 
"Ellos tenían planes establecidos para la administración de la seguridad y el manejo de crisis, pero el eslabón perdido era integrarlos con los negocios, de modo que la gente en todo el mundo pudiera entender la posición de la administración acerca de cosas críticas, como tiempo de funcionamiento, resolución de problemas y quién es responsable", indica. Este tipo de información generalmente no se da a conocer al campo de acción por adelantado, lo cual es un error crucial. La administración necesita darle poder a quienes toman las decisiones de manera local por adelantado, para que puedan realizar acciones rápidamente para mitigar daños si se dan ciertas condiciones.
Los planes tienen que atender no solo nodos clave de la cadena de suministro y escenarios específicos que podrían ocurrir, sino también vulnerabilidades emergentes de seguridad. "Eso es una mentalidad y una forma de planificar diferente", añade Sager. "El departamento de seguridad tiene que unirse con el lado operacional/financiero del negocio", observando todos los aspectos de la cadena de suministro, incluyendo dónde están ubicados los diferentes componentes y los arreglos para contrataciones alternativas de servicios externos. Sager le pone a sus clientes una prueba de escritorio, en la cual los ejecutivos se sientan en un cuarto de conferencias y revisan un escenario punto por punto con los ejecutivos clave que toman las decisiones, revisando cómo es que ellos deben responder. 
Marc Siegel, comisionado de la Iniciativa de Estándares Globales Internacionales ASIS, está liderando la embestida para desarrollar un estándar ISO para la capacidad de recuperación de la cadena de suministro. ASIS ya ha publicado SPC.1, su primer estándar organizacional de resistencia. "Pensamos que los estándares son la respuesta para lidiar con [los cisnes negros]", indica Siegel. "Las compañías tienen que desarrollar una estrategia detallada para la recuperación de la cadena de suministro, porque sus recursos son limitados. Esto le permite ver el panorama completo, en lugar de solo separar las diferentes cosas". Por ejemplo, una estrategia para prevenir terrorismo podría funcionar contra la piratería o ayudar también durante un terremoto. 
Las organizaciones necesitan acercarse a los riesgos desde un punto de vista completo, añade Siegel. "El problema con el riesgo du jour es que la probabilidad de que suceda varía tan grandemente entre organizaciones que puede desviar su atención de realizar una detallada valoración del riesgo". En breve, puede hacerlo quitar los ojos de la bola. 
 
Fuerza No. 2: El aumento del malware
Los asuntos de seguridad de la información también pesan sobre la mente de los CSO, aunque no están tan visiblemente relacionados a la cadena de suministro como lo está la seguridad física. Una organización (y por ende su cadena de suministro) puede ser humillada por un ataque a su red de información, tanto como puede ser lastimada por un ataque a su carga. Muchos CSO dicen que están preocupados por las botnets: dos de las más apremiantes amenazas relacionadas con botnets son los ataques de spam/phishing a los empleados, y la posibilidad del resurgimiento de los ataques de denegación de servicio (DoS) que aparecieron hace 10 o más años. 
Ed Amoroso, CISO de AT&T, culpa a la descontrolada complejidad tecnológica por el aumento del malware. "La causa de raíz primaria para casi todo con lo que lidiamos -clientes comerciales y todo- es la complejidad. Las computadoras y las redes que la gente instala y usa se han vuelto demasiado complicadas", señala Amoroso. Ya que nadie sabe exactamente donde yacen todos los puntos de conexión entre sistemas, es fácil para los malhechores explotarlos. "He leído que el 95% del spam que está flotando alrededor se origina en las botnets", añade. "Todo tiene que ver con la complejidad -y que la gente no sabe cómo detenerla a niveles individuales, corporativos y de seguridad de la información-". 
Como Amoroso, Joonho Lee se preocupa mucho sobre la llegada de ataques DoS integrados. "DoS solía tratarse de un tráfico de gran volumen golpeando su red", señala Lee, un oficial del Equipo de Respuesta a Incidentes Nacionales y vicepresidente asistente del Banco Federal de Reserva de Nueva York. "Ahora, hay tantos diferentes tipos de ataques. Ya no solo se trata de inundarlo con tráfico. Se trata de inundarlo con tráfico que no puede bloquear.
"Tenemos todas las protecciones contra DoS, pero soy muy escéptico de que éstas siempre funcionen. Si es golpeado por una transmisión de 40 gigabit por segundo, lo va a noquear, ya sea a su red o a su proveedor", indica Lee. "Los hackers están impulsando cientos de miles de máquinas. DoS definitivamente está de vuelta en el horizonte".
Rena Mears, un socio de servicios de seguridad y privacidad en Deloitte & Touche, cree que el malware de la cadena de suministro está llegando en sí mismo a la madurez. "Si retrocede una década, eran unas pocas personas haciendo gimnasia mental. Luego nos movimos a una era donde fue monetizado [a través del phishing y el spam]. El siguiente paso fue el golpe rápido masivo -equivalente a un robo de banco-. Ahora estamos viendo algo mucho más insidioso", indica Mears. El malware y sus perpetradores se están volviendo cada vez más sofisticados.
En lugar de llevar a cabo los ataques masivos de DoS de "golpea y corre" del pasado, el malware de hoy busca sustentarse a sí mismo en un nivel relativamente bajo, similar a la manera en que sobreviven los parásitos en la naturaleza.
"Esto es más que una estrategia de una fuente constante de ganancias. El agente de malware puede vivir debajo del umbral de dolor de la organización, pero extrae información para comprometer la propiedad intelectual o sacar información de tarjetas de crédito", añade Mears. 
Lee no cree que los proveedores de servicio de red puedan proteger adecuadamente contra las amenazas planteadas por la nueva especie de malware. Amoroso de AT&T reconoce que la situación es difícil, diciendo solo que, como otros proveedores, AT&T ha desarrollado múltiples estrategias para manejar los ataques de la nueva especie de DoS. Él cree que la cada vez mayor popularidad de los clientes delgados ayudará a frustrar estos ataques porque son más simples, con menos partes movibles que atacar. 
Fuerza No. 3: Desaceleración económica
Es axiomático decir que el crimen aumenta cuando la economía se deteriora. Muchas amenazas -tanto a la seguridad física como a la seguridad de la información- se han vuelto más apremiantes en el último año. Muchos CSO esperan que el grupo de amenazas asociadas continúe extendiéndose. Aunque se prevé que la economía mejore lentamente, muchos expertos anticipan que el remodelado paisaje no necesariamente señalará un retorno a la prosperidad para todos, o más aún, de la sociedad. Algunas personas estarán desesperadas y por tanto propensas a realizar acciones desesperadas. 
Mientras la economía continúa flaquando, más y más personas están perdiendo sus trabajos, lo cual generalmente significa también perder su seguro de salud. Ray Biondo, CISO de Health Care Services (que se encarga de cuatro planes Blue Cross Blue Shield en Illinois), teme que los continuos problemas económicos causarán despidos de empleados a gran escala, lo cual la compañía ha podido evitar hasta ahora. Él teme que la llegada de un plan de seguro de salud nacional pudiera tener el mismo efecto. Biondo se encuentra más preocupado por las amenazas internas a la información y a la seguridad física de lo que estaba hace unos años.
"Me preocupan las amenazas físicas internas y las amenazas a nuestros datos. La gente se vuelve muy ansiosa, y la fuga de datos se vuelve un problema", señala Biondo. Él cree que ha tomado todas las medidas disponibles para proteger la información y la seguridad física, pero permanece inquieto. Chris Falkenberg prevé un aumento en las amenazas a la seguridad personal, incluyendo el rapto de ejecutivos de negocios en el extranjero y ataques a individuos de gran valor para la red. "Los CSO tendrán que lidiar con estas cosas porque tienen que proteger a sus ejecutivos", añade Falkenberg, presidente de la firma de servicios de seguridad Insite Security. A él también le preocupa que los raptos personales puedan volverse un problema en los Estados Unidos, aunque el país no tiene la corrupción gubernamental generalizada que típicamente permite que estas actividades echen raíces. Él cree que la mayoría de CSO no tiene la experiencia interna para manejar este tipo de amenaza. 
Lee, del Banco Federal de Reserva, cree que las amenazas emergentes, tales como el malware y los ataques de enemigos internos, requieren una comunicación más fuerte entre los grupos de seguridad de la información y de seguridad física, así como con cualquier otro departamento que se vea involucrado cuando hay problema, como legal. "Allí se necesita que haya un mejor equipo de trabajo. No solo es un entrenamiento", añade. Incluso si estos grupos se hablan entre sí, usualmente solo trasladarían el caso hacia el otro sitio. Todo el mundo que esté involucrado necesita conocer los siguientes pasos lógicos. Necesita haber reconocimiento de una pertenencia conjunta del problema".
Fuerza No. 4: Explosión de datos
Los datos ahora son tan ubicuos y tan generalizados que la gente los pierde de vista. Incluso muchos fabricantes hoy en día están tan masivamente involucrados con datos, que nunca piensan en sí mismo como otra cosa que no sea abastecedores y usuarios de información. El nivel de integración que tienen las compañías con sus procesos y sus socios de negocios es algo que no podrían haber contemplado hace apenas cinco años, señala Mears. La explosión tanto en los datos en sí mismos como en la práctica de compartir datos fuera de sus límites organizacionales, presenta muchas clases diferentes de riesgos. 
Compañías de todo tipo y tamaño comparten infinita cantidad de información con sus socios de negocios. Estos datos son constantemente actualizados y fluyen en ambos sentidos. "Esta es una cadena de dos vías", agrega Mears. "Eso significa que está replicando datos. Nosotros solíamos decir 'defender el perímetro'. Pero muchas compañías ya ni siquiera tienen ahora un perímetro ".
Los datos y la información son activos, pero los ejecutivos no saben lo que tienen, dónde está todo y quién está (y no está) protegiéndolos. "Es muy difícil proteger datos cuando no sabes exactamente qué son y con quién los estás compartiendo, y nadie pende de un hilo por esas decisiones", agrega Mears. Esta realidad necesita un enfoque basado en riesgos para la protección de datos. "Ya no puede proteger todos los datos. No todos los activos de datos valen la misma cantidad. Tiene que asegurarse que hay un retorno sobre ese activo de datos, así como lo haría con cualquier otro activo. Debe proveer seguridad en proporción con el valor del activo de información", indica.
Deloitte está aconsejando a sus clientes que desarrollen una respuesta más enfocada a la seguridad de la información. En un ambiente global altamente integrado, las compañías entienden que su propiedad intelectual de núcleo está en riesgo, pero no pueden permitirse proteger los despojos flotantes diarios que como siempre son parte del negocio. "La protección de datos es ahora un problema tipo C-suite y de nivel de junta directiva. Los ejecutivos están empezando a pensar cómo maximizar el retorno de sus activos de datos", señala Mears. 
Fuerza No. 5: Cargas regulatorias
Desde el 11 de septiembre de 2001, y la aprobación del Acta Sarbanes-Oxley en el 2002, la actividad regulatoria ha sido alta en virtualmente cada industria. Esto es ciertamente verdadero en la industria de comidas/bebidas/agroindustria, debido a la obvia importancia de mantener un suministro de alimentos que sea seguro respecto a la contaminación, sea esta maliciosa o inocente. H.R. 2749, el Acta de Mejora de la Seguridad de los Alimentos del 2009, acaba de ser aprobada. Y Walmart hizo noticia en el 2008 cuando requirió que todos sus proveedores de alimentos cumplieran con el estricto estándar GFSI (Global Food Safety Initiative). De acuerdo con Rick Shanks, este estándar sigue el rastro de todos los mandatos dentro de la cadena de suministro de alimentos.
"Muchos procesadores de alimentos no están preparados para lidiar con el nivel de seguimiento requerido por la regulación", señala Shanks, director de administración nacional de Aon Risk Services, la división de consejería sobre riesgos de Aon Corp. La capacidad de hacer seguimientos requiere un alto nivel de visibilidad de la cadena de suministro, el cual no está siempre disponible. Eso hace más difícil mitigar un incidente de contaminación de comida, tal como la salmonella o la listeria. "Cuando tiene un evento relacionado con alimentos, tiene que ser capaz de rastrearlo hasta su fuente", señala Shanks. Aon recientemente anunció la oferta de un servicio que ayuda a los procesadores de alimentos y a los productores a lograr la visibilidad necesaria.
Una fuerza relacionado cambiando la forma de las cadenas de suministro en la industria de alimentos y bebidas, es la demanda cada vez mayor de los consumidores de conocer la procedencia de sus alimentos. Las verduras y los mariscos han sido etiquetados para indicar su origen desde hace algunos años. La actual tendencia "locávora" -que hace hincapié en consumir comida localmente cultivada- se deriva en parte de la creencia de los consumidores de que los alimentos cultivados y consumidos en las proximidades son menos probables que sean contaminados. Aquí, las cadenas de suministro están liberando vínculos para ayudar a sosegar los miedos de los consumidores.
Lauren Gibbons Paul, CSO (US)