Un nuevo estudio de Kaspersky, “Supply chain reaction: securing the global digital ecosystem in an age of interdependence”, revela que más del 66% de las empresas globalmente estarían dispuestas a invertir en la seguridad de sus contratistas y proveedores para garantizar su protección frente a ciberataques; mientras que un 25% ya lo está haciendo. Este cambio refleja que los proveedores pasan a considerarse parte de un ecosistema de seguridad interconectado.
En un contexto marcado por el aumento de los ataques a la cadena de suministro, que han afectado a casi una de cada tres empresas[1], y de los ciberataques basados en relaciones de confianza (que impactan a una de cada cuatro compañías a nivel global), las organizaciones están revisando su enfoque de seguridad. Cada vez es más evidente que el riesgo cibernético propio depende también del nivel de protección de cualquier proveedor o socio con acceso a sus sistemas e infraestructuras.
Según el estudio, el 69% de las organizaciones está valorando invertir en la seguridad de sus proveedores para reforzar su propia resiliencia. Esta predisposición es especialmente elevada en países como India (83%), Indonesia (80%), Rusia (80%) y Brasil (76%). En mercados como Indonesia, Brasil o Rusia, además, se observa un mayor nivel de confianza en los proveedores, reflejado en un número superior a la media de terceros con acceso a los sistemas corporativos.
Al mismo tiempo, el 25% de las empresas ya ha comenzado a compartir los costes de seguridad con sus proveedores, pasando de la intención a la acción. Esta práctica presenta una mayor adopción en España (33%), Hong Kong y Taiwán (33%), Turquía (31%) y Vietnam (31%).
“Hoy las empresas son conscientes de que la seguridad no puede limitarse a los límites de su propia organización, sino que debe extenderse a todo el ecosistema. Las empresas más pequeñas suelen carecer de las capacidades de seguridad de las grandes organizaciones a las que prestan servicio, lo que introduce riesgos adicionales. Compartir recursos y conocimiento permite cerrar estas brechas, reforzar los puntos débiles de la cadena de dependencias y avanzar hacia una mayor resiliencia cibernética global”, afirma Sergey Soldatov, responsable del Centro de Operaciones de Seguridad en Kaspersky.
Para reducir los riesgos asociados a la cadena de suministro, Kaspersky recomienda adoptar medidas organizativas que incluyan una evaluación rigurosa y basada en evidencias de los proveedores de software. Analizar sus prácticas de seguridad, revisar sus procesos de desarrollo y aplicar marcos estructurados de evaluación permite garantizar que solo soluciones seguras formen parte de la infraestructura interna.
Además, para mitigar los riesgos derivados de terceros, los analistas de Kaspersky recomiendan:
Colaborar estrechamente con los proveedores en materia de ciberseguridad, reforzando las medidas de protección de forma conjunta.
Evaluar en profundidad a los proveedores antes de formalizar acuerdos, revisando sus políticas de seguridad, historial de incidentes y cumplimiento de estándares.
Analizar vulnerabilidades y pruebas de penetración en productos software y servicios cloud, e incluso realizar pruebas dinámicas de seguridad cuando sea necesario.
Incluir requisitos específicos de ciberseguridad en los contratos, como auditorías periódicas o protocolos de notificación de incidentes.
Adoptar medidas tecnológicas preventivas, como el principio de mínimo privilegio, el modelo Zero Trust o una gestión avanzada de identidades.
Para más información sobre los riesgos en la cadena de suministro y cómo mitigarlos, puedes consultar el informe completo.
[1] Según el informe “Supply chain reaction: securing the global digital ecosystem in an age of interdependence”. Para el informe, el centro de investigación de mercado interno de Kaspersky encargó una encuesta en la que se interrogó a 1.714 líderes empresariales, desde directivos de alto nivel y vicepresidentes hasta jefes de equipo y especialistas sénior de empresas con más de 500 empleados. El estudio abarcó 16 países, entre ellos Alemania, España, Italia, Brasil, México, Colombia, Singapur, Vietnam, China, India, Indonesia, Arabia Saudí, Turquía, Egipto, los Emiratos Árabes Unidos y Rusia.
