Cerca de la mitad de los ataques a empresas tienen origen en sus proveedores

Las organizaciones públicas y privadas están detectando un importante aumento de ciberataques relacionados con sus proveedores a lo largo de la cadena de suministro. Según el III Estudio ‘Empresas y Ciberseguridad’ de Leet Security, se calcula que estos ataques se han multiplicado por tres desde mediados de 2018. En concreto, un 46,8% de los incidentes que han afectado a los encuestados fue originado en sus proveedores. La crisis de la COVID-19 y la explosión forzada del teletrabajo han sido determinantes en estos resultados.

El informe, elaborado con datos de 115 organizaciones recogidos entre abril y mayo, muestra la creciente preocupación de los empresarios por la ciberseguridad, especialmente por el aumento de proveedores relevantes para la prestación de los servicios. Casi el 61% de los encuestados declara tener prestadores de servicios que se conectan a sus sistemas, y un 55,7% afirma que su información se gestiona en los propios sistemas del proveedor.

Por otra parte, el estudio indica que la normativa que exige la implementación de procesos de gestión de riesgos de terceros lleva creciendo desde hace meses: la implantación de la Autoridad Bancaria Europea (EBA) en el sector financiero; del Reglamento General de Protección de Datos (RGPD); de la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA); y de la Autoridad Europea de Valores y Mercados (ESMA) para las entidades cotizadas, serían los ejemplos más destacados.

De esta manera, son muchas las organizaciones que están poniendo en marcha programas de gestión de riesgos de terceros, orientados a disponer de información fiable sobre el nivel de seguridad de sus potenciales proveedores y lograr una toma de decisiones lo más eficiente posible. Sin embargo, casi un 20% de las organizaciones encuestadas no evalúa en absoluto a sus empresas proveedoras de servicios, y apenas la mitad incluyen en sus programas tanto la selección como la supervisión de éstas. El mecanismo más utilizado para ello (un 64,3% de los casos) es la certificación del Sistema de Gestión de Seguridad de la Información, que no aporta ninguna información sobre el nivel de seguridad del servicio. El estudio señala asimismo que un 83,5% de las compañías utilizan servicios en la nube, pero el 16,5% no se preocupan por el nivel de seguridad que ofrecen sus empresas proveedoras.

El estudio incluye un apartado dedicado a las organizaciones que basan sus estrategias y sus sistemas de gestión en el Modelo EFQM, una metodología que utilizan más de 50.000 entidades públicas y privadas en todo el mundo y que en España está impulsada por el Club Excelencia en Gestión. El 96% de estas organizaciones se muestran muy precavidas ante los niveles de ciberriesgo, frente al 78% del resto de empresas consultadas. El 72% de las organizaciones que tienen o que utilizan el Modelo EFQM son conscientes de haber sufrido algún ciberataque o acceso no autorizado a sus sistemas o a su información en los últimos 12 meses, frente a una media del 42% en el resto de las organizaciones consultadas.