Un nuevo estudio de Kaspersky revela que el aumento de los ciberataques a la cadena de suministro ha llevado a que casi siete de cada 10 empresas estén dispuestas a invertir en la seguridad digital de sus contratistas y proveedores para reducir su exposición a incidentes. Además, una de cada cuatro organizaciones ya comparte esos costos, en un escenario en el que las compañías empiezan a asumir que su protección ya no depende solo de sus propios sistemas, sino también de los terceros con los que operan.
Según la investigación, el 69% de las empresas encuestadas piensa invertir en la seguridad de sus contratistas para reforzar su propia resiliencia cibernética, mientras que otro 25% ya lo está haciendo. Este dato refleja un cambio de fondo en el modo en que las organizaciones entienden la ciberseguridad: los proveedores y socios dejaron de considerarse actores externos y hoy forman parte de un ecosistema interconectado, donde una falla ajena puede poner en riesgo toda la operación.
Este cambio ocurre en medio del incremento de los ataques a la cadena de suministro, que en el último año afectaron a casi una de cada tres empresas a nivel mundial, así como de los ataques a relaciones de confianza, que impactaron a una de cada cuatro compañías. En este contexto, las organizaciones están reconsiderando sus estrategias de protección interna al advertir que su riesgo digital también depende del nivel de seguridad de cualquier contratista o socio con acceso a su infraestructura, plataformas o sistemas.
La intención de invertir en la seguridad de terceros es especialmente alta en India, donde alcanza el 83%, seguida de Indonesia y Rusia, con 80% en ambos casos, y Brasil, con 76%. En estos mercados se observa también un mayor nivel de confianza en los contratistas, lo que se refleja en una presencia por encima del promedio de terceros con acceso a los sistemas corporativos.
Asimismo, un 25% de las empresas ya pasó de la intención a la acción y comenzó a compartir los costos de seguridad con sus contratistas. Esta práctica tiene mayores niveles de adopción en Hong Kong y Taiwán, con 33%, España, también con 33%, y Turquía y Vietnam, con 31% cada uno.
Eduardo Chavarro, director para Américas del Equipo Global de Respuestas a Incidentes en Kaspersky, asegura que “lo que hoy están entendiendo las empresas es que su nivel real de protección ya no depende únicamente de lo que ocurre dentro de su propia infraestructura, sino también del nivel de madurez en ciberseguridad de los terceros con los que operan”.
“En un entorno donde proveedores, contratistas y socios tienen acceso a sistemas, datos o procesos críticos, una brecha en cualquier punto de esa red puede convertirse en un riesgo directo para la continuidad del negocio. Por eso, compartir capacidades, estándares y recursos con esos actores no es solo una medida de apoyo, sino una decisión estratégica para reducir puntos ciegos, fortalecer la resiliencia operativa y contener amenazas que hoy se propagan a través de ecosistemas cada vez más interconectados”, complementa.
Con el propósito de minimizar los riesgos en la cadena de suministro, Kaspersky aconseja que las empresas potencien su seguridad a través de medidas organizacionales, incluyendo una evaluación rigurosa y basada en evidencia de los proveedores de software. Al evaluar las prácticas de seguridad de los proveedores, revisar los procesos de desarrollo de software y aplicar marcos de evaluación estructurados, las empresas pueden comprobar que solo productos seguros y resilientes operen en su infraestructura interna.
Para mitigar los riesgos de la cadena de suministro y de las relaciones de confianza, Kaspersky también entrega las siguientes recomendaciones:
• Colaborar con los proveedores en cuestiones de seguridad. Es crucial trabajar estrechamente con los proveedores para mejorar sus medidas de seguridad, fortaleciendo la confianza mutua y convirtiendo la protección en una prioridad compartida.
• Evaluar exhaustivamente a los proveedores antes de sellar un acuerdo. Es clave evaluar el nivel de seguridad de los posibles proveedores antes de iniciar la colaboración. Esto incluye solicitar una revisión de sus políticas de ciberseguridad, información sobre incidentes pasados y cumplimiento de los estándares de seguridad de la industria.
• Para productos de software y servicios en la nube, se recomienda recopilar datos sobre vulnerabilidades y pruebas de penetración y, en algunos casos, se aconseja desarrollar pruebas dinámicas de seguridad de aplicaciones (DAST).
• Implementar requisitos contractuales de seguridad. Los contratos con proveedores deben incluir requisitos específicos de seguridad de la información, como auditorías de seguridad periódicas, cumplimiento de las políticas de seguridad pertinentes de su organización y protocolos de notificación de incidentes.
• Aplicar soluciones de monitoreo industrial. Herramientas como Kaspersky Industrial CyberSecurity ayudan a ganar visibilidad sobre redes OT, detectar actividad anómala y reducir el riesgo de que una amenaza proveniente de un proveedor comprometa la operación.
