La escasez de talento en ciberseguridad ya no es un reto a futuro, es un problema urgente para las empresas. En paralelo, los ataques a la cadena de suministro y a las relaciones de confianza se han consolidado como una de las principales amenazas, afectando a una de cada tres organizaciones en el último año, según un estudio global de Kaspersky1. En este contexto, la falta de profesionales especializados, sumada a la presión de gestionar múltiples prioridades, está limitando la capacidad de las organizaciones para responder a estos riesgos: el 42% de los encuestados reconoce que estas brechas están frenando sus esfuerzos de protección.
De acuerdo con la encuesta, uno de los principales obstáculos para reducir los riesgos asociados a la cadena de suministro y las relaciones de confianza es la falta de personal calificado. Esta escasez limita la capacidad de las organizaciones para acceder de manera constante y monitorear posibles vulnerabilidades en terceros dentro de sus ecosistemas. La necesidad de profesionales en ciberseguridad capaces de enfrentar estos riesgos es especialmente alta algunos países de América Latina, como México, y en Vietnam, Emiratos Árabes Unidos y España.
Entre otros obstáculos principales, los encuestados señalaron la necesidad de atender múltiples prioridades de ciberseguridad al mismo tiempo. Esto refleja que los equipos de seguridad están sobrecargados con demasiadas tareas a la vez, lo que puede dejar sin atender las amenazas relacionadas con la cadena de suministro.
Más allá de la falta de recursos, las empresas también enfrentan problemas estructurales. El 39% de los encuestados afirma que sus contratos no incluyen obligaciones claras de seguridad informática para los contratistas, una brecha especialmente frecuente en países como Vietnam, Turquía, España y México. A esto se suma que el 32% señala que el personal fuera del área de seguridad no comprende plenamente estos riesgos, lo que dificulta su gestión dentro de las organizaciones.
A nivel global, el 85% de las empresas reconoce que necesita reforzar su protección frente a los riesgos en la cadena de suministro y en sus relaciones con terceros, mientras que solo el 15% considera que sus medidas actuales son realmente efectivas. Este nivel de confianza es aún menor en países como Alemania (6%), Turquía (7%), Italia (8%), Brasil (8%), Rusia (8%) y Arabia Saudita (9%).
Al mismo tiempo, las acciones que están tomando las empresas para protegerse siguen siendo limitadas y poco consistentes: ninguna medida supera el 40% de adopción, y la más común, la autenticación en dos pasos, solo es utilizada por el 38% de los encuestados.
Además, solo el 35% de las organizaciones revisa de forma periódica la seguridad de sus proveedores. Esto significa que cerca de dos tercios de las empresas no tienen visibilidad constante sobre los riesgos que pueden venir de sus socios, lo que las deja expuestas a nuevas vulnerabilidades.
Sin embargo, las empresas que ya han sufrido este tipo de ataques tienden a fortalecer sus prácticas. Por ejemplo, el 56% de las que han sido afectadas por incidentes en la cadena de suministro solicita pruebas de seguridad más rigurosas, mientras que quienes han enfrentado brechas en relaciones de confianza priorizan la verificación de estándares (56%) y el cumplimiento de políticas de seguridad por parte de sus contratistas (53%).
“Desde una perspectiva regional, el problema no es solo la escasez de talento, sino el impacto directo que esto tiene en la capacidad de las empresas para gestionar riesgos de forma integral. Cuando los equipos están sobrecargados, la seguridad deja de ser preventiva y se vuelve reactiva, abriendo la puerta a amenazas que pueden ingresar a través de proveedores y escalar sin ser detectadas. En América Latina, donde los ecosistemas empresariales son cada vez más interconectados, una debilidad en un tercero puede convertirse rápidamente en un riesgo operativo, financiero y reputacional para toda la organización. Por eso, la seguridad de la cadena de suministro debe abordarse como una responsabilidad compartida, con estándares claros y consistentes en toda la red. Además, los ciberdelincuentes saben que la escasez de talento es aún más marcada en las organizaciones más pequeñas de la cadena de suministro, lo que las convierte en objetivos prioritarios”, afirma Claudio Martinelli, Director General para Américas en Kaspersky.
Para mitigar estos riesgos, los expertos de Kaspersky recomiendan:
- Adopte servicios de seguridad gestionada. Para las organizaciones que carecen de recursos dedicados a ciberseguridad, la mejor opción es recurrir a la externalización. Utilice servicios como Kaspersky Managed Detection and Response (MDR) y/o Incident Response, que cubren todo el ciclo de gestión de incidentes, desde la identificación de amenazas hasta la protección continua y la remediación.
- Invierta en formación adicional en ciberseguridad. Refuerce los conocimientos de ciberseguridad de sus colaboradores mediante programas de capacitación de Kaspersky, ya sea en modalidad autodidacta o en vivo, con un enfoque práctico. Estos programas educativos ayudan a los profesionales de seguridad a desarrollar sus habilidades técnicas y a proteger a las empresas frente a ataques sofisticados.
- Evalúe exhaustivamente a los proveedores antes de establecer un acuerdo. Revise sus políticas de ciberseguridad, información sobre incidentes previos y el cumplimiento de estándares de seguridad de la industria. En el caso de software y servicios en la nube, también se recomienda analizar datos de vulnerabilidades y resultados de pruebas de penetración.
- Implemente requisitos de seguridad en los contratos. Los acuerdos con proveedores deben incluir disposiciones específicas de seguridad de la información, como auditorías periódicas, cumplimiento de las políticas de seguridad de la organización y protocolos de notificación de incidentes.
- Colabore con los proveedores en temas de seguridad. Refuerce la protección en ambas partes y conviértala en una prioridad compartida
Más recomendaciones, junto con otros hallazgos sobre la mitigación de riesgos en la cadena de suministro, están disponibles en aquí.
