Prácticamente todas las empresas a nivel mundial hacen negocios o utilizan los productos de terceros que han sufrido al menos un ciberataque, lo que aumenta sus riesgos de seguridad.
Los datos son alarmantes, pero así se desprende de un estudio realizado por SecurityScorecard, en colaboración con The Cyentia Institute. La investigación llevada a cabo concluye que el 98% de las organizaciones tienen relaciones con al menos un tercero que ha experimentado una brecha de seguridad en los últimos dos años.
Además, también se pone de manifiesto que el 50% de las empresas tienen relaciones indirectas con al menos 200 proveedores que han sufrido una violación de seguridad en los últimos dos años.
A estas conclusiones llega el estudio tras analizar los datos de más de 235.000 organizaciones y más de 73.000 proveedores y productos utilizados por ellos, o por sus proveedores. Con ello queda patente cómo la interdependencia de las cadenas de suministro digitales afecta al riesgo de las organizaciones.
Para Aleksandr Yampolskiy, cofundador y director ejecutivo de SecurityScorecard, de esta forma se constata que la superficie de ataque de una organización va más allá de la tecnología que posee o controla.
«Las organizaciones necesitan visibilidad de las cualificaciones de seguridad de todo su ecosistema de terceros y cuartos», explica el responsable. En este sentido, destaca que, de esta forma, «pueden saber en un instante si una organización merece su confianza y puede tomar medidas proactivas para mitigar el riesgo».
A más proveedores, mayor riesgo de sufrir un ciberataque
Ante los riesgos de las cadenas de suministro, el informe incide en el hecho de que, cuantos más proveedores tengan las organizaciones, correrán más riesgos de seguridad.
Por cada proveedor externo en una cadena de suministro, las organizaciones suelen tener entre 60 y 90 veces relaciones indirectas con terceros. En comparación con la organización principal, los proveedores externos tienen cinco veces más probabilidades de exhibir una seguridad deficiente.
Otro aspecto a tener en cuenta es que el sector de servicios de información mantuvo un promedio de 25 proveedores, 2,5 veces el número de relaciones con terceros que la media general de 10.
El sector financiero se encuentra en el otro extremo del espectro con una media de 6,5 relaciones con terceros. Por su parte, el sector sanitario cuenta con una media de 15,5 proveedores por organización; mientras que el sector de seguros dispone de una media de 11 proveedores.
Según el informe, cada una de estas relaciones con terceros representa una exposición al riesgo. En algunos casos debido a un código de terceros comprometido o, en otros, debido al uso de un proveedor de alojamiento inseguro.
Otra cuestión a tener en cuenta es que la exposición de datos a terceros internacionales aumenta los requisitos reglamentarios y de seguridad. El 59% de las organizaciones tienen proveedores de hasta cinco países, mientras que aproximadamente el 14% trabaja con proveedores que abarcan diez países, e incluso más.
Para SecurityScorecard gestionar los riesgos en toda la cadena de suministro es crítico ya que los actores de amenazas trabajan para explotar cualquier vulnerabilidad que pueda tener una organización.
Identificar y monitorizar continuamente a todos los partners y clientes que forman parte de la cadena de suministro es clave para adelantarse a cualquier potencial riesgo.