La industria de la alimentación y bebidas frente al aumento de los ciberriesgos
Febrero 20, 2024
El sector se enfrenta a un entorno cibernético complejo: desde la interrupción en la cadena de suministros a la paralización de la producción y al robo de datos
Cyber Risk Management
N/A
El sector de la alimentación y las bebidas es una industria cada vez más digitalizada y conectada. Esto, unido a la complejidad de sus cadenas de suministros, la ha convertido también en una industria especialmente susceptible a los ciberriesgos y sus consecuencias. Los ciberriesgos en el sector de la alimentación y los ciberataques no sólo producen importantes pérdidas directas, sino que también pueden comprometer la seguridad alimentaria del producto, impactar en la reputación -afectando a la confianza del consumidor-, y tener graves consecuencias financieras para el balance de las compañías a largo plazo.
A pesar de que las empresas del sector son cada vez más conscientes del escenario complejo en el que operan, muchas siguen infravalorando los riesgos cibernéticos. De acuerdo con el Informe de la encuesta global sobre alimentos y bebidas de WTW, el 63% de las organizaciones del sector no cuenta con pólizas específicas de ciberriesgos. ¿Qué consecuencias puede tener estar desprotegido ante los ciberataques? ¿Y cómo pueden los seguros minimizar los riesgos?
¿Qué ciberriesgos sufre el sector de la alimentación y bebidas?
En un contexto de automatización, optimización, empoderamiento e inversión, los ciberriesgos aparecen afectando a todos los pilares inherentes a los programas de Transformación Digital (sistemas, procesos, personas y capital) y, por tanto, poniendo en peligro la consecución de los objetivos estratégicos.
El ciberriesgo aparece en el momento en que la organización sustenta sus procesos de negocio esenciales en sistemas de información, cuando no se han comunicado, diseñado o correctamente implementado las nuevas políticas, procedimientos y estándares que soportan los procesos de gestión, cuando las personas ponen resistencia a los cambios organizativos y cuando no se diseña una correcta estrategia de transferencia.
Todo lo que esté conectado, es susceptible de ser atacado y, por tanto, el sector de la alimentación y las bebidas no es ajena a los ciberriesgos que sufren el resto de las industrias. De acuerdo con la guía Ciberamenazas contra entornos empresariales, del Instituto Nacional de Ciberseguridad, éstas son las principales amenazas:
Fugas de información. Hace referencia a la pérdida o robo de información confidencial de la empresa o datos sensibles, ya sea a través de un ataque deliberado o de forma involuntaria, como consecuencia de un error humano.
Ataques tipo phishing. Los ataques de suplantación de identidad, en los que los ciber delincuentes se hacen pasar por alguien para ganarse la confianza de la persona objeto del ataque, siguen siendo la principal vía de robo de información confidencial y credenciales de acceso.
Fraude de CEO y recursos humanos. También conocido como spear phishing, el fraude de CEO busca robar fondos de las empresas suplantando la identidad de un alto directivo. El fraude de recursos humanos tiene un objetivo similar, pero las víctimas son el personal de recursos humanos de la empresa y un empleado al que suplantan su identidad.
Ataques de suplantación de proveedores. En este tipo de incidentes, el delincuente suplanta la identidad de un proveedor de la empresa con el objetivo de obtener dinero de forma fraudulenta.
Ransomware y extorsión. Este tipo de ataques, que usan un software malicioso que bloquea el acceso a la información del sistema de la empresa o de ciertos dispositivos y solicita un rescate económico a cambio de restaurar la normalidad, es uno de los más habituales y de mayor impacto económico.
Ataques DDOS. Los ataques de denegación de servicio (DDOS, por sus siglas en inglés) buscan saturar los recursos del sistema de la organización, llegando a bloquear servicios e incluso sistemas completos.
Ataques de malware. Las campañas de correos electrónicos u otros mensajes para distribuir malware e infectar el sistema de una empresa comprometen los dispositivos de las víctimas y la seguridad de toda la organización.
Para hacernos una idea del impacto de estos ciberriesgos en el sector de la alimentación, es importante saber que, según el Informe Anual de la Industria Alimentaria Española (2017-2018), desarrollado por el Ministerio de Agricultura, Pesca y Alimentación, en España, la industria de alimentación y bebidas es la primera rama del sector industrial, generando un valor de producción de 113.593,07 millones de euros y representando el 2,5% del PIB. Actualmente, según el Directorio Central de Empresas del INE, en España existen 31.342 empresas que proporcionan productos y servicios en este sector (el 15,1% de toda la empresa manufacturera).
Desde el punto de vista tecnológico, los programas de Transformación Digital del sector de la alimentación y bebidas son una realidad que las empresas del sector deben considerar para mantener su posición competitiva. Estos programas se caracterizan por ser un proceso evolutivo, una filosofía, la nueva mejora continua. Son también un proceso disruptivo, la innovación que genera nuevos modelos de negocio.
¿Cómo afectan estos riesgos a la industria?
Las ciberamenazas y los ciberriesgos, comunes a todas las industrias, se materializan de forma muy concreta en el sector de la alimentación y las bebidas. Un ataque, un robo de datos o un intento de fraude pueden provocar los siguientes efectos:
Interrumpir el normal funcionamiento de los sistemas de información y gestión digital de la empresa.
Producir pérdidas financieras, daños materiales, lesiones personales o daños a la reputación corporativa.
Impedir la trazabilidad a lo largo de toda la cadena de suministro, lo que puede derivar en retiradas o destrucción de producto.
Dificultar la consecución de los objetivos estratégicos y el avance de la transformación digital.
Provocar cambios en procesos, políticas, procedimientos y estándares de gestión que no estén bien diseñados, implementados y/o comunicados.
Por tanto, una inexistente, incompleta o inadecuada gestión del ciberriesgo, en la que sólo se consideren aspectos relacionados con la tecnología y con su operación (obviando a las personas, a los procesos y al capital), puede tener un impacto negativo sobre el óptimo desarrollo de los programas de transformación digital y, en consecuencia, en la consecución de los objetivos estratégicos.
La mejora de la competitividad, el incremento de la cifra de negocio, la reducción de los costes operativos, la mejora de la productividad, la protección de la reputación corporativa, la integración de la cadena de suministro y la gestión óptima de la red de proveedores y clientes son tan sólo algunos de los objetivos estratégicos que las organizaciones del sector de la alimentación y bebidas deben consideran para enfocar su dirección y establecer prioridades.
Para lograr sus objetivos estratégicos, la industria de alimentación y bebidas quiere convertirse en un ‘Smart Sector’, para lo que debe minimizar los ciberriesgos y su impacto
Los programas de transformación digital llevan implícita la incorporación masiva de tecnologías de la información, la optimización de procesos de negocio, el empoderamiento de las personas y la definición de inversiones óptimas en capital. Las iniciativas de Industria 4.0 quieren convertir el sector de alimentación y bebidas en un ‘Smart Sector’ en el que se realicen ‘Smart Services & Products’.
Para minimizar la probabilidad de ocurrencia y el impacto que pueden tener los ciberriesgos en el sector de la alimentación y bebidas, éstas son las fases que proponemos llevar a cabo:
Realizar una gestión estratégica del ciberriesgo. Llevar a cabo una identificación de los ciberriesgos basándose en escenarios, una cualificación de sus componentes basándose en mejores prácticas como la metodología FAIR, una cuantificación de las pérdidas y costes asociados a la eventual ocurrencia de incidentes de ciberseguridad, una simulación de los principales escenarios, un cálculo de cómo afecta el ciberriesgo al EBITA, el cálculo del ROI de las diferentes estrategias (mitigación y transferencia) y la integración de información sobre ciberriesgos en programas ERM.
Evaluar e incrementar el nivel de madurez de los programas de ciberseguridad. Evaluar el nivel de madurez de programas de ciberseguridad apoyándose en estándares y mejores prácticas IT/OT (serie ISO 27000, NIST CSF, SP 800-82, IEC 62443) y utilizando herramientas colaborativas que faciliten el proceso de evaluación, análisis de controles y diseño de planes de mejora. Adicionalmente, es preciso incrementar el nivel de madurez de los programas de ciberseguridad IT/OT apoyándose en metodologías tipo C2M2 (Cybersecurity Capability Maturity Model) o complementando las metodologías de evaluación del nivel de madurez con un modelo de gestión en el que se definan: niveles de madurez objetivo, tareas, resultados, métricas y recursos.
Identificar los principales ciberriesgos. Identificar los principales ciberriesgos utilizando estándares y metodologías internacionalmente reconocidas que ayuden a conocer el grado de exposición de la organización a las principales amenazas existentes.
Diagnosticar la cultura corporativa en ciberriesgos. Diagnosticar la cultura corporativa en ciberriesgos, evaluando diferentes grupos y perfiles de ciberriesgo y realizando ejercicios de simulación (Phishing o similares). Además, es recomendable analizar las fortalezas del equipo de ciberseguridad basándose en estándares tipo NICE NIST Framework.
Cuantificar el impacto financiero de los ciberriesgos. Cuantificar el impacto financiero de los ciberriesgos, para conocer cómo afectan a la cuenta de resultados y a la normal operación de la organización. Para ello, es recomendable apoyarse en el diseño de escenarios de ciberriesgo o la realización de procesos BIA (Business Impact Analysis) en los que se calculen ratios tipo como el MTD (Maximum Tolerable Downtime), MBCO (Minimum Business Continuity Objective), RTO (Recovery Time Objective) o el RPO (Recovery Point Objective).
Definir la estrategia. Definir la estrategia de gestión de los ciberriesgos partiendo de la información recogida durante los procesos anteriores.
Mitigar los ciberriesgos. Desarrollando 5 documentos clave: Estándar, Plan Director, Modelo de Control, Plan de Continuidad de Sistemas e Insider Threat & Training Program (ITTP).
Transferir los ciberriesgos. Llevando a cabo un programa de transferencia del ciberriesgo, en el que, si es necesario, se diseñe una ciber-póliza a medida que proteja óptimamente a la organización teniendo en cuenta su contexto y situación de partida.
En definitiva, para minimizar la probabilidad de ocurrencia y el impacto que pueden tener los ciberriesgos en el sector de la alimentación y bebidas es necesario llevar a cabo una gestión integral de los ciberriesgos, identificando los principales ciberriesgos con una aproximación estratégica, evaluando el nivel de madurez de los programas de ciberseguridad de la organización y los ciberriesgos que surgen por la existencia de diferentes tipos de amenazas, diagnosticando la cultura corporativa en ciberriesgos, cuantificando el impacto económico que puede suponer su existencia, mitigando aquellos ciberriesgos que tienen mayor probabilidad y mayor impacto y transfiriendo aquéllos que pueden producirse con baja probabilidad y alto impacto.
Para acceder a nuestra lista completa de recomendaciones para gestionar el ciberriesgo en el sector de la alimentación y bebidas, puedes descargar este whitepaper.
Pólizas de ciberriesgo para el sector de la alimentación y bebidas
Los ciberriesgos son cada vez más sofisticados y complejos y pueden afectar a la cadena de suministro, al procesamiento y la producción de alimentos y bebidas, a los controles de calidad o a la distribución y la venta de productos. Para hacerles frente,
las pólizas de ciberriesgos ofrecen protección contra una amplia gama de posibles impactos, pérdidas y costes en caso de incidente.
Costes derivados de fallos en la red, incluyendo la pérdida de ingresos y el coste de restaurar los activos digitales.
Costes de gestión de crisis, como los gastos de contar con un equipo de primera respuesta urgente, el análisis informático forense o los costes de comunicación que acarrean las pérdidas de datos y las campañas de relaciones públicas.
Daños a terceros y costes de defensa tras una violación de la seguridad de los datos.
Extorsión cibernética, incluyendo, de nuevo, el servicio especializado de respuesta urgente, así como el coste de especialistas en seguridad y los pagos de rescates.
Multas y sanciones reglamentarias, cuando sean asegurables por ley.
¿Qué ciberriesgos son asegurables? Así ayudamos en WTW al sector de alimentación y bebidas
En WTW contamos con un equipo de ciberriesgos amplio y experimentado, familiarizado con la casuística concreta del sector de la alimentación y las bebidas. Nuestros especialistas pueden ayudarte a cuantificar las exposiciones de tu empresa mediante potentes análisis basados en datos, a decidir qué riesgos necesitas -y puedes- transferir al mercado asegurador y a diseñar programas para optimizar las coberturas y los costes de las mismas. Esta asistencia se estructura en tres frentes:
Evaluación. Ofrecemos servicios personalizados para identificar y analizar los riesgos cibernéticos concretos de tu organización y aumentar su preparación y respuesta ante ciber incidentes. Coordinados con los equipos de ciberseguridad e informática del cliente, identificamos posibles brechas y vulnerabilidades y brindamos soluciones prácticas para reducir los riesgos y aumentar la resiliencia.
Cuantificación. Podemos predecir pérdidas potenciales si ocurriera un ciberataque en una amplia variedad de escenarios. A través de nuestra herramienta Cyber Quantified, podemos ayudar a estimar el impacto y los costes de una interrupción en los sistemas operativos o de una brecha de datos grave.
Protección. Nuestros asesores y brokers te ayudarán a obtener la protección que necesitas del mercado asegurador, ya sea un seguro cibernético independiente o extensiones a otra póliza. También pueden ofrecer soporte tras un incidente, tanto a la hora de defenderse de las reclamaciones como para extraer lecciones del evento y mejorar la protección.
Los ciberriesgos en el sector de la alimentación y las bebidas pueden conllevar retrasos en la producción, retirada de productos, problemas con los proveedores o pérdidas de reputación, entre muchas otras cosas. Estar bien preparado frente a las ciberamenazas pasa por contar con unas defensas sólidas y una plantilla consciente de los riesgos, pero también por estar listo para responder en caso de ataque y para minimizar sus pérdidas.