La pandemia de Covid-19, los cambios en la economía global y el conflicto de Ucrania han puesto a prueba aún más una cadena de suministro global ya imperfecta. Según una encuesta reciente de ISACA a más de 1300 profesionales de TI, hay motivos para preocuparse por la capacidad de cualquier organización que dependa de la cadena de suministro para cumplir con los objetivos comerciales.
Una miríada de factores globales, geográficos y geopolíticos aumentan un panorama de amenazas ya dinámico, lo que hace que la gobernanza, la coordinación y la gestión de riesgos sean aún más importantes. Sin embargo, implementar, ejecutar y optimizar estrategias, planes y procesos es un desafío con una cadena de suministro global cada vez más compleja. Tres de las principales preocupaciones de la encuesta de ISACA se destacan a continuación, con recomendaciones sobre cómo abordar cada una.
El 84% de los encuestados dice que la cadena de suministro de su organización necesita una mejor gobernanza
Para mejorar el gobierno de la cadena de suministro de su organización, identifique las funciones comerciales críticas y cómo su cadena de suministro particular las afecta. Para hacer esto:
- Realice un análisis de impacto comercial y determine el costo potencial y el impacto de no tener estos recursos.
- Desarrolle una hoja de ruta para priorizar sus esfuerzos en estas partes críticas de su cadena de suministro. Sea honesto: ¿su organización puede funcionar sin estos recursos y existen otras fuentes o proveedores para artículos similares? Mejore la confianza en su cadena de suministro mapeándola, identificando a las partes interesadas clave y comunicándose regularmente con ellas.
- Desarrollar planes de contingencia y comunicación. Al trabajar con sus proveedores e identificar puntos críticos de contacto y planes de contingencia, su organización tendrá controles viables para mejorar su cadena de suministro.
- Finalmente, asegúrese de que todas las partes interesadas participen. Las sorpresas más grandes suceden cuando todas las partes interesadas no están involucradas y, de repente, un recurso esencial se agota o se agota. Comunique en exceso a sus partes interesadas la importancia de comprender sus recursos vitales y qué suministros necesitan para continuar operando. Solo entonces la gestión de su organización puede planificar y priorizar lo que debe hacerse. Ya no tenemos el lujo de un cambio rápido en los suministros y recursos necesarios.
El 66% de los encuestados estaban preocupados por las malas prácticas de seguridad de la información por parte de los proveedores.
La gobernanza tiene que ver con la priorización, la comunicación y la responsabilidad. Las recomendaciones incluyen:
- Reúnase con proveedores críticos y pídales que demuestren sus prácticas de seguridad de la información. Si no lo hacen, determine si otros proveedores pueden proporcionar un producto similar. Asegúrese de que sus proveedores actuales entiendan que su falta de cooperación está poniendo en peligro su relación comercial.
- Asegúrese de que los contratos futuros con todos los proveedores incluyan métodos para evaluar la postura de seguridad de la información de un proveedor, métodos para verificar la madurez de la seguridad de la información de un proveedor y procesos para compartir información, especialmente durante incidentes o crisis.
- Priorizar los procesos de incorporación y de baja para todos los proveedores/proveedores.
- Finalmente, tenga reuniones recurrentes con sus proveedores críticos. Establezca métodos para planificar y probar aleatoriamente sus cadenas de suministro con sus proveedores. Estas pruebas pueden ser tutoriales, evaluaciones de vulnerabilidad, auditorías de seguridad o pruebas de penetración. Tenga acuerdos con los proveedores sobre cómo abordarán o mitigarán los problemas descubiertos durante las pruebas. Contar con procesos para verificar que los controles y mitigaciones sean relevantes y se mantengan para los riesgos compartidos actuales.
El 60% de los encuestados no han coordinado ni practicado planes de respuesta a incidentes basados en la cadena de suministro con sus proveedores.
La respuesta a incidentes en la cadena de suministro se puede abordar a través de la gobernanza, la planificación y la gestión de riesgos. Los ejercicios de simulación son ejercicios útiles y deben incluir proveedores críticos para revisar el plan de respuesta a incidentes de su proveedor junto con el suyo. Los resultados clave pueden incluir:
- Identifique temas comunes y posibles problemas, conflictos o inquietudes con cada plan de respuesta a incidentes. Trabaje con sus proveedores para documentar cómo sus proveedores y su organización lidiarán con los incidentes cotidianos.
- Desarrolle libros de jugadas para abordar estos incidentes comunes.
- Desarrollar respuestas a la pérdida de recursos, ataques a la cadena de suministro o averías en áreas de responsabilidad compartida.
- Desarrolle métodos seguros de comunicación, incluidos métodos fuera de banda que se puedan usar si el sistema de su proveedor o el sistema de su organización se ve comprometido.
- Finalmente, el paso más crítico: practique estos manuales con sus proveedores.
Los ejercicios de tablero deben comenzar como incidentes teóricos comunes básicos. Estos ejercicios iniciales pueden ayudar a identificar preocupaciones y problemas, especialmente con roles, responsabilidades y la cadena de autoridad de gestión de incidentes. Después de completar varias tablas, realice recorridos planificados y no planificados de los libros de jugadas de incidentes compartidos. Los recorridos ayudan a identificar problemas potenciales antes de un incidente real, como quiénes son los respaldos si los contactos principales no están disponibles o en qué circunstancias usted y su proveedor deben cambiar a medios de comunicación alternativos.
Cabe destacar que existen proveedores de escenarios de incidentes en el mercado que producen y facilitan incidentes de capacitación, lo que aumenta el realismo. En estas situaciones, las reglas de participación claramente definidas y aprobadas hacen que la capacitación sea lo más auténtica posible sin afectar las operaciones. El resultado clave es una lista de lecciones aprendidas para mejorar la resiliencia de su cadena de suministro.
El buen gobierno, las comunicaciones seguras y frecuentes y una sólida gestión de riesgos son tres componentes básicos a disposición de las empresas para mejorar la solidez de su cadena de suministro. La comunicación es clave: con proveedores/vendedores, partes interesadas y tomadores de decisiones para identificar servicios y recursos críticos. La documentación es importante para delinear y llevar a cabo las actividades necesarias para proteger los servicios y recursos críticos. Es fundamental establecer y mantener canales de comunicación claros con los proveedores críticos. Revise con frecuencia los riesgos para su organización, especialmente los servicios críticos, los recursos y las cadenas de suministro. Los procesos y procedimientos de contingencia mejoran la respuesta y deben desarrollarse y ser prácticos cuando ocurren eventos del mundo real.
El buen gobierno, la comunicación y la gestión de riesgos mejorarán la resiliencia de su cadena de suministro y prepararán mejor a su organización para la próxima crisis mundial.
Brian Fletcher es asesor de prácticas de evaluación cibernética de ISACA.
