Para aquellos conscientes del creciente e imparable riesgo que suponen los ciberataques en las empresas, asistimos con estupor el pasado mes de julio a lo que podríamos llamar un mes negro para la industria alimentaria a nivel mundial.
A comienzos de mes, un ciberataque paralizó la producción de carne de vacuno en Estados Unidos, dejando al país sin una quinta parte de su capacidad de producción. El ataque contra JBS, la mayor empresa de procesamiento de carne del mundo, con sede en Brasil, afectó directamente al core de su negocio; la cadena de producción. Como consecuencia, muchos de sus mataderos y salas de despiece y empaquetado de carne tuvieron que parar por tener bloqueados los ordenadores.
Apenas unos días después, la cadena de supermercados sueca Coop Sweden se había visto obligada a cerrar todas sus tiendas (¡un total de 800!) a causa de un ataque de ransomware (secuestro de datos) a su proveedor tecnológico en Estados Unidos, Kaseya, lo que provocó que las cajas registradoras (totalmente automatizadas y conectadas) no pudieran operar. En este caso, el desabastecimiento no fue provocado por un ataque directo contra la compañía de alimentación, sino contra su proveedor de IT.
Las empresas de la industria de la alimentación deben tomar medidas inmediatas para garantizar que sus plataformas sean lo más seguras posible, tal como ya apuntaba, en 2019, un estudio elaborado por el Food Protection and Defense Institute (FPDI) de la Universidad de Minnesota (Estados Unidos). Entre las posibles consecuencias de un ciberataque en la industria, el informe señalaba, entre las más destacadas, riesgos para la salud pública derivados de la contaminación de alimentos, posibles daños físicos a los trabajadores (accidentes laborales), la destrucción de maquinaria, una posible afectación al medioambiente y enormes pérdidas financieras para las empresas.
Un ciberataque puede tener como objetivo el core de una compañía o alguno de sus principales proveedores
Como veíamos en los casos mencionados en este artículo, las vulnerabilidades a nivel cibernético en una empresa de alimentación se pueden dar tanto en su core business como en una amplia variedad de componentes de los diferentes proveedores, lo que dificulta que puedan evitarse por completo.
Si hablamos de nuestro país, según datos de la Federación Española de Industrias de Alimentación y Bebidas (FIAB), alimentación y bebidas es el primer sector industrial del país, y el que mejor ha soportado la pandemia, con una caída menor al del resto de industrias. En 2020, la producción del sector sumó 129.854 millones de euros, tan solo un 5,3% menos que en 2019.
En el ámbito de la transformación digital, nuestra industria alimentaria es de las más avanzadas, utilizando en los últimos años la tecnología para mejorar la competitividad, reducir los costes operativos, mejorar la productividad, integrar la cadena de suministro, así como gestionar de forma óptima la red de proveedores y clientes y la trazabilidad de los productos con un detalle asombroso.
Pero, precisamente por todo ello, también se han disparado en los últimos años los ciberriesgos en el sector. Concretamente, el 77% de las empresas españolas de la industria de alimentación y bebidas asegura haber sufrido un ciberincidente en el último año, según el estudio ‘Hiscox Cyber Readiness Report 2019’, que analiza la situación de 7 países (España, Estados Unidos, Gran Bretaña, Alemania, Holanda, Francia y Bélgica). El 23% de los ataques fueron de ransomware.
Uno de los datos interesantes de este informe es que un 40% de las empresas afirma que le gustaría disponer de infraestructura para poder realizar simulacros de incidentes y pruebas de vulnerabilidad. Un aspecto esencial no solo para prevenir riesgos sino para mitigar la crisis cuando esta se produzca y para identificar los puntos fuertes y débiles de la compañía en este ámbito.
Tal como se indica en el Ideas «Ciberriesgos y reputación: Pautas para anticiparse» es evidente que los ciberriesgos representan una amenaza para la continuidad de la actividad o negocio, una potencial de pérdida de activos económicos y financieros; pero también lo es que suponen un serio desafío para el “capital social y relacional” (licencia para operar, reputación, marca, recomendación…) de cualquier entidad.
Por tanto, si cuando se produce un ciberataque en el sector de la alimentación, además de afectar al negocio y a la producción, es muy probable que también afecte de forma importante a la imagen y la reputación de la compañía (desabastecimiento, incumplimiento de compromisos con los stakeholders, riesgos de seguridad alimentaria…), ¿por qué no realizar también simulacros en la gestión de la comunicación de estos ciberincidentes?
Gracias a la experiencia, los conocimientos y la tecnología ya podemos definir modelos de prevención y preparación de riesgos reputacionales que nos permiten dimensionar, diseñar, testar y refinar las respuestas más adecuadas para cada oportunidad.
¿Cómo prepararnos en la industria para atajar los ciberriesgos desde el ámbito de la preservación de la reputación?
- Identificación y gestión estratégica de los ciberriesgos: basándonos en un modelo de escenarios de riesgo, identificaremos todo aquellos ciberriesgos para el sector y para la actividad específica de la compañía y trataremos de cuantificar su impacto tanto en el ámbito de la reputación como del negocio y de la relación con los stakeholders.
- Evaluación del nivel de madurez de la organización para la gestión cada uno de los ciberriesgos: mediante un conocimiento profundo de los flujos de comunicación dentro y fuera de la compañía y el establecimiento, si fuera necesario, de nuevos procesos de reporte ante un incidente cibernético.
- Diseño de nuevos procedimientos de gestión de una cibercrisis: tras el diagnóstico y el análisis de los procesos, estableceremos un marco claro de actuación para toda la organización que incluya las acciones de comunicación tanto interna como externa.
- Testear los nuevos procedimientos y asegurar que los conceptos están bien asentados: para ello, es imprescindible realizar una formación específica en los equipos que, con toda seguridad, deberán actuar ante un ciberataque y organizar simulacros en tiempo real que ayuden a detectar deficiencias y a mejorar la gestión en caso de ciberataque real.La tecnología está ya al servicio de la gestión de riesgos y las plataformas de recreación de entornos virtuales permiten imitar escenarios reales de crisis, pero en entornos seguros para la compañía. En este contexto, las simulaciones de situaciones de crisis en medios de comunicación y redes sociales, así como el uso de herramientas de realidad virtual y aumentada, se están convirtiendo en una herramienta clave a la hora de prevenir riesgos de reputación derivados de ciberataques y en la mejor manera de prevenir adecuadamente los ciberriesgos.
Si te interesa saber más, te invitamos a descargar “Cómo prevenir riesgos de reputación con escenarios virtuales y automatización”.
