Kaspersky advierte que la exposición de terceros se ha convertido en un riesgo directo para las operaciones de las compañías.
Ante el aumento de los ciberataques a la cadena de suministro, casi 7 de cada 10 empresas están dispuestas a invertir en la seguridad digital de sus contratistas y proveedores para reducir su exposición a incidentes, según un nuevo estudio de Kaspersky. Además, una de cada cuatro organizaciones ya comparte esos costos, en un contexto en el que las compañías empiezan a asumir que su protección ya no depende solo de sus propios sistemas, sino también de los terceros con los que operan.
De acuerdo con la investigación1, el 69% de las empresas encuestadas considera invertir en la seguridad de sus contratistas para fortalecer su propia resiliencia cibernética, mientras que otro 25% ya lo está haciendo. El hallazgo refleja un cambio de fondo en la manera en que las organizaciones entienden la ciberseguridad: los proveedores y socios dejaron de verse como actores externos y hoy forman parte de un ecosistema interconectado, donde una falla ajena puede comprometer toda la operación.
El cambio ocurre en medio del crecimiento de los ataques a la cadena de suministro, que en el último año afectaron a casi una de cada tres empresas a nivel global, así como de los ataques a relaciones de confianza, que impactaron a una de cada cuatro compañías. En este escenario, las organizaciones están reconsiderando sus estrategias de protección interna al reconocer que su riesgo digital también depende del nivel de seguridad de cualquier contratista o socio con acceso a su infraestructura, plataformas o sistemas.
La disposición a invertir en la seguridad de terceros es especialmente alta en India, donde alcanza el 83%, seguida de Indonesia y Rusia, con 80% en ambos casos, y Brasil, con 76%. En estos mercados también se observa un mayor nivel de confianza en los contratistas, lo que se refleja en una presencia por encima del promedio de terceros con acceso a los sistemas corporativos.
Al mismo tiempo, un 25% de las empresas ya pasó de la intención a la acción y comenzó a compartir costos de seguridad con sus contratistas. Esta práctica registra mayores niveles de adopción en Hong Kong y Taiwán, con 33%, España, también con 33%, y Turquía y Vietnam, con 31% cada uno.
“Lo que hoy están entendiendo las empresas es que su nivel real de protección ya no depende únicamente de lo que ocurre dentro de su propia infraestructura, sino también del nivel de madurez en ciberseguridad de los terceros con los que operan”, asegura Eduardo Chavarro, director para Américas del Equipo Global de Respuestas a Incidentes en Kaspersky. “En un entorno donde proveedores, contratistas y socios tienen acceso a sistemas, datos o procesos críticos, una brecha en cualquier punto de esa red puede convertirse en un riesgo directo para la continuidad del negocio. Por eso, compartir capacidades, estándares y recursos con esos actores no es solo una medida de apoyo, sino una decisión estratégica para reducir puntos ciegos, fortalecer la resiliencia operativa y contener amenazas que hoy se propagan a través de ecosistemas cada vez más interconectados”.
Para reducir los riesgos en la cadena de suministro, Kaspersky recomienda que las empresas fortalezcan su seguridad mediante medidas organizacionales, incluida una evaluación rigurosa y basada en evidencia de los proveedores de software. Al evaluar las prácticas de seguridad de los proveedores, revisar los procesos de desarrollo de software y aplicar marcos de evaluación estructurados, las empresas pueden asegurarse de que solo productos seguros y resilientes operen en su infraestructura interna. Una guía más detallada sobre cómo elegir el mejor producto está disponible en el enlace.
Para mitigar los riesgos de la cadena de suministro y de las relaciones de confianza, Kaspersky también recomienda lo siguiente:
- Colaborar con los proveedores en cuestiones de seguridad. Es vital trabajar estrechamente con los proveedores para mejorar sus medidas de seguridad; dicha colaboración fortalece la confianza mutua y convierte la protección en una prioridad compartida.
- Evaluar exhaustivamente a los proveedores antes de celebrar un acuerdo. Es crucial evaluar el nivel de seguridad de los posibles proveedores antes de iniciar la colaboración. Esto incluye solicitar una revisión de sus políticas de ciberseguridad, información sobre incidentes pasados y cumplimiento de los estándares de seguridad de la industria.
- Para productos de software y servicios en la nube, se recomienda recopilar datos sobre vulnerabilidades y pruebas de penetración y, en algunos casos, se aconseja realizar pruebas dinámicas de seguridad de aplicaciones (DAST).
- Implementar requisitos contractuales de seguridad. Los contratos con proveedores deben incluir requisitos específicos de seguridad de la información, como auditorías de seguridad periódicas, cumplimiento de las políticas de seguridad pertinentes de su organización y protocolos de notificación de incidentes.
- Implementar soluciones de monitoreo industrial. Herramientas como Kaspersky Industrial CyberSecurity ayudan a ganar visibilidad sobre redes OT, detectar actividad anómala y reducir el riesgo de que una amenaza proveniente de un proveedor comprometa la operación.
Más recomendaciones, junto con otros hallazgos sobre los riesgos en la cadena de suministro, están disponibles en el enlace.
