Casi tres cuartas partes (71%) de las empresas con directrices específicas acerca del uso de datos para socios y proveedores recibieron una compensación después de que algún incidente afectara a los socios con los que comparten información. En comparación, sólo el 22% de las organizaciones del mismo tamaño que no tienen regulaciones en vigor fueron compensadas por un incidente similar. Estos son algunos de los resultados de un estudio realizado por Kaspersky entre responsables de seguridad de TI.
Según datos de Gartner, el 71% de las organizaciones trabaja en su red con más terceras partes que hace tres años, y esas mismas organizaciones esperan que dicho número crezca en los próximos tres años. Para que estos terceros puedan cumplir con sus obligaciones laborales, las empresas suelen permitirles el acceso a sus datos sensibles y a sus activos de TI.
El informe IT Security Economics de Kaspersky reveló que el 79% de las empresas cuenta con políticas especiales que explican a los socios y proveedores cómo trabajar con recursos y datos compartidos, así como las penalizaciones en las que pueden incurrir. Esta preocupación tiene todo sentido ya que, de acuerdo con el estudio, se estima que el daño por incidente alcanza un promedio de 2’57 millones de dólares, y las brechas de datos se encuentran entre los tres problemas más costosos que enfrentan las empresas. Los investigadores de Kaspersky han descubierto una serie de sofisticados ataques dirigidos a la denominada cadena de suministro o de terceros, entre los que se incluye el conocido ShadowPad.
Uno de los principales beneficios de la implementación de políticas de terceros es que resuelven los problemas al definir las áreas de responsabilidad de las organizaciones involucradas. En consecuencia, aumenta las posibilidades de que una empresa obtenga una compensación de un proveedor que se convierte en un punto de entrada para un ataque. El 71% de las empresas con una política de terceros confirmó haber recibido una recompensa monetaria después de un incidente, en comparación con el 22% de aquellas compañías que no tenían ese tipo de regulaciones en vigor. Este tipo de políticas también aumentan la probabilidad de compensación en el caso de las PYMES. Por ejemplo, el 68% de las PYMES con este tipo de políticas en vigor recibieron compensaciones frente al 28% de las que no implementaron normas para sus proveedores.
El estudio no especifica si las políticas sobre brechas de datos hacen que los ataques a la cadena de suministro sean menos frecuentes. Casi una cuarta parte (24%) de las empresas que implementaron políticas de TI especiales para terceros experimentaron una brecha de datos debido a un incidente de ciberseguridad que afectó a sus proveedores, pero tan sólo el nueve por ciento de las empresas que no contaban con dichas reglas confirmó que había sufrido un ataque.
«Los resultados de nuestro estudio pueden parecer bastante paradójicos, ya que las empresas con políticas específicas dicen que han experimentado ataques a la red de partners con mayor frecuencia. Sin embargo, podemos sugerir que una empresa con una red más amplia de proveedores prestará más atención a esta área, lo que tiene como resultado la aplicación de directrices específicas. No obstante, una amplia red de proveedores puede hacer que estas violaciones de datos sean más probables. Además, las organizaciones con políticas de terceros pueden determinar con mayor precisión las causas de un incumplimiento en particular«, comenta Sergey Martsynkyan, director de Marketing de Productos B2B en Kaspersky.
Para estar protegido de los ataques a las redes de terceros, Kaspersky recomienda tomar las siguientes medidas de seguridad:
- Actualice regularmente su lista de socios y proveedores, así como los datos a los que pueden acceder. Asegúrese de que sólo tengan acceso a los recursos que necesitan para realizar su trabajo. Confirme que las organizaciones que no colaboran con su empresa están excluidas y no pueden acceder o utilizar los datos y activos.
- Proporcione a todos los terceros los requisitos que deben cumplir, incluidas las prácticas de cumplimiento y seguridad.
- Kaspersky cuenta con la solución Kaspersky Anti Targeted Attack capaz de detectar ataques avanzados que pueden haber pasado desapercibidos en una etapa temprana a las soluciones de protección del perímetro, incluyendo ataques a la cadena de suministro.
El informe completo está disponible aquí.
