Ya no basta con garantizar la seguridad física de los activos, ahora las empresas deben poner especial atención en sus sistemas de información ante amenazas de criminales y terroristas cibernéticos.
En este sentido, la industria logística se ha convertido en blanco de “hackeadores”, no tanto en el control de los activos de transporte, sino de los bienes que se almacenan. La cantidad de datos que maneja la cadena de suministro las hace inseguras debido a la información compartida entre fabricantes, proveedores, distribuidores y clientes. La visibilidad de toda esta información, mediante sistemas de gestión en dispositivos manuales y tecnología tipo GPS, aumenta el riesgo de comprometer la integridad y confidencialidad de los datos, que si bien es indispensable compartirlos para mejorar la eficiencoa en la gestión, también es información invaluable para los delincuentes.
Debido a esta digitalización de las cadenas de suministro, la logística se ha vuelto susceptible de ataques virtuales y, aunque no se puede eliminar del todo la posibilidad de sufrirlos, sí es posible evitarlos o mitigar sus consecuencias.
La fórmula para combatirlos incluye tanto tareas correctivas como preventivas. De hecho, estas últimas son las que pueden hacer la diferencia ante típicos atracos físicos —como robo de envíos desde almacenes, sustitución por productos falsificados y uso de redes de transporte para mover drogas o contrabando— y aquellos atracos que aprovechan la tecnología —como fallas en la distribución de productos, virus informáticos, vulnerabilidades en el hardware, instalación de software falsificado y problemas con fletes electrónicos.
Otros aspectos por considerar en la seguridad cibernética que podrían impactar a los futuros sistemas de transporte serán su conectividad total con la red y la transferencia automatizada de datos en tiempo real, que podrián poner en riesgo a los operadores y a las mercancías en caso de que los sistemas se vieran comprometidos.
Aunque muchos de estos casos dependen en gran medida de la realidad tecnológica de cada país, también existen acciones que ayudan a las empresas logísticas a preparase ante algún riesgo:
- Cultura empresarial
Los colaboradores pueden ser los principales escudos para evitar un ataque; capacitarlos regularmente sobre ética y ciberseguridad ya no es opcional. El área de desarrollo organizacional debe contemplar estos temas y responsabilizarlos de ejecutar las actualizaciones periódicas de sus programas, en especial las de los antivirus, así como de contactar al departamento de sistemas ante cualquier sospecha.
- Establecimiento de un comité
Se recomienda crear un grupo de personas de diferentes áreas que continuamente identifiquen posibles amenazas y discutan temas de seguridad y mejores prácticas, que después se puedan permear al resto de la compañía.
- Priorización de amenazas
Con la información obtenida en el comité, se aconseja hacer un plan con métodos de rescate, tiempos de recuperación y técnicas de mitigación de riesgo para evitar la interrupción de las operaciones. Este plan también debe incluir una lista de todos los activos que se emplean en la cadena de suministro (computadoras, celulares, tabletas, datos de empleados, clientes, información financiera) y clasificarlos según su relevancia.
- Mapa de relaciones electrónicas
Para completar el punto anterior, se aconseja también desarrollar un mapa de las conexiones electrónicas con clientes, proveedores y contactos en segundo grado, que se hacen a lo largo de la cadena de suministro. Este mapa revelará la dependencia entre éstos y señalará las posibles vulnerabilidades que podrían surgir a lo largo de la cadena de suministro, desde la recepción de la materia prima hasta la entrega del producto.
- Auditorías a proveedores
Es recomendable aplicar auditorías periódicas a los proveedores sobre requisitos contractuales y legales que garanticen la seguridad de la información y la protección de datos confidenciales de la compañía y de los clientes, así como supervisar su desempeño y comprobar la integridad de las materias primas e indirectos que suministran.
- Asignación de presupuesto
Para llevar a cabo los puntos anteriores es necesario tener una partida presupuestal que contribuya a combatir los posibles ataques. En esta partida había que considerar software especial para seguridad informática, antivirus, personal exprofeso para monitoreo de alertas, cursos y capacitaciones, entre otros.
Por otro lado, es recomendable evitar una excesiva mitigación de riesgos que pueda bloquear o retrasar otras actividades, como las ventas que requieren máxima agilidad para completarse.
El estar tan conectadas con otras áreas de la compañía hace a las cadenas de suministro susceptibles de amenazas cibernéticas, las cuales no dependen en su totalidad del factor tecnológico sino también del humano. Para evitar lo más posible ser blanco de ataques, las compañías deben preparase como lo hacen ante otros tipos de riesgos: primero analizarlos, después priorizarlos, luego desarrollar un plan de mitigación y, por último, construir una cultura que se comprometa con la protección de la información.
La gestión de riesgos en la cadena de suministros consiste no sólo en entregar los productos cuando se ha acordado sino también asegurar y blindar todas las tareas administrativas y operativas para seguridad de todos: la de la compañía, la de sus clientes y la de sus proveedores.
