13 de febrero de 2020

Las políticas sobre el uso de datos corporativos por terceros son clave ante una fuga de información

Según un estudio de Kaspersky, las brechas de datos se encuentran entre los tres problemas más costosos que enfrentan las empresas, alcanzando un promedio de 2’57 millones de dólares por incidente cada año

Casi tres cuartas partes (71%) de las empresas con directrices específicas acerca del uso de datos para socios y proveedores recibieron una compensación después de que algún incidente afectara a los socios con los que comparten información. En comparación, sólo el 22% de las organizaciones del mismo tamaño que no tienen regulaciones en vigor fueron compensadas por un incidente similar. Estos son algunos de los resultados de un estudio realizado por Kaspersky entre responsables de seguridad de TI.

Según datos de Gartner, el 71% de las organizaciones trabaja en su red con más terceras partes que hace tres años, y esas mismas organizaciones esperan que dicho número crezca en los próximos tres años. Para que estos terceros puedan cumplir con sus obligaciones laborales, las empresas suelen permitirles el acceso a sus datos sensibles y a sus activos de TI.  

El informe IT Security Economics de Kaspersky reveló que el 79% de las empresas cuenta con políticas especiales que explican a los socios y proveedores cómo trabajar con recursos y datos compartidos, así como las penalizaciones en las que pueden incurrir. Esta preocupación tiene todo sentido ya que, de acuerdo con el estudio, se estima que el daño por incidente alcanza un promedio de 2’57 millones de dólares, y las brechas de datos se encuentran entre los tres problemas más costosos que enfrentan las empresas. Los investigadores de Kaspersky han descubierto una serie de sofisticados ataques dirigidos a la denominada cadena de suministro o de terceros, entre los que se incluye el conocido ShadowPad.

Uno de los principales beneficios de la implementación de políticas de terceros es que resuelven los problemas al definir las áreas de responsabilidad de las organizaciones involucradas. En consecuencia, aumenta las posibilidades de que una empresa obtenga una compensación de un proveedor que se convierte en un punto de entrada para un ataque. El 71% de las empresas con una política de terceros confirmó haber recibido una recompensa monetaria después de un incidente, en comparación con el 22% de aquellas compañías que no tenían ese tipo de regulaciones en vigor. Este tipo de políticas también aumentan la probabilidad de compensación en el caso de las PYMES. Por ejemplo, el 68% de las PYMES con este tipo de políticas en vigor recibieron compensaciones frente al 28% de las que no implementaron normas para sus proveedores.   

El estudio no especifica si las políticas sobre brechas de datos hacen que los ataques a la cadena de suministro sean menos frecuentes. Casi una cuarta parte (24%) de las empresas que implementaron políticas de TI especiales para terceros experimentaron una brecha de datos debido a un incidente de ciberseguridad que afectó a sus proveedores, pero tan sólo el nueve por ciento de las empresas que no contaban con dichas reglas confirmó que había sufrido un ataque.

"Los resultados de nuestro estudio pueden parecer bastante paradójicos, ya que las empresas con políticas específicas dicen que han experimentado ataques a la red de partners con mayor frecuencia. Sin embargo, podemos sugerir que una empresa con una red más amplia de proveedores prestará más atención a esta área, lo que tiene como resultado la aplicación de directrices específicas. No obstante, una amplia red de proveedores puede hacer que estas violaciones de datos sean más probables. Además, las organizaciones con políticas de terceros pueden determinar con mayor precisión las causas de un incumplimiento en particular", comenta Sergey Martsynkyan, director de Marketing de Productos B2B en Kaspersky.

Para estar protegido de los ataques a las redes de terceros, Kaspersky recomienda tomar las siguientes medidas de seguridad:

  1. Actualice regularmente su lista de socios y proveedores, así como los datos a los que pueden acceder. Asegúrese de que sólo tengan acceso a los recursos que necesitan para realizar su trabajo. Confirme que las organizaciones que no colaboran con su empresa están excluidas y no pueden acceder o utilizar los datos y activos.
  2. Proporcione a todos los terceros los requisitos que deben cumplir, incluidas las prácticas de cumplimiento y seguridad.
  3. Kaspersky cuenta con la solución Kaspersky Anti Targeted Attack capaz de detectar ataques avanzados que pueden haber pasado desapercibidos en una etapa temprana a las soluciones de protección del perímetro, incluyendo ataques a la cadena de suministro.

El informe completo está disponible aquí.

supply-chain-attack.jpg

Acerca del estudio

La Encuesta Global sobre Riesgos de Seguridad de TI Corporativa de Kaspersky (ITSRS) es un estudio global realizado entre los responsables de la toma de decisiones de las empresas de TI. En esta novena edición se realizaron un total de 4,958 entrevistas en 23 países. A los encuestados se les preguntó sobre el estado de la seguridad de TI dentro de sus organizaciones, los tipos de amenazas a las que se enfrentan y los costes que tienen que afrontar al recuperarse de los ataques. Las regiones cubiertas incluyen LATAM (América Latina), Europa, América del Norte, APAC (Asia-Pacífico con China), Japón, Rusia y META (Oriente Medio, Turquía y África).

Acerca de Kaspersky

Kaspersky es una empresa de ciberseguridad global fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 270,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en https://latam.kaspersky.com.

Artículo relacionado Comunicados de prensa