8 de cada 10 empresas cuentan con políticas de uso de datos para terceros
- Endpoint
Ante el crecimiento de los ataques dirigidos a la denominada cadena de suministro, cada vez más empresas implementan políticas de terceros, ya que ello aumenta las posibilidades de obtener una compensación de un socio o proveedor después que este haya sufrido un incidente.
Según datos de Gartner, el 71% de las organizaciones trabajan en su red con más terceras partes que hace tres años, y ese mismo porcentaje espera que dicho número crezca en los próximos tres años. Para que estos terceros puedan cumplir con sus obligaciones laborales, las empresas suelen permitirles el acceso a sus datos sensibles y a sus activos de TI. Pues bien, el informe IT Security Economics de Kaspersky revela que el 79% de las empresas cuentan con políticas especiales que explican a los socios y proveedores cómo trabajar con recursos y datos compartidos, así como las penalizaciones en las que pueden incurrir. Esta preocupación tiene todo su sentido ya que, los investigadores de Kaspersky han descubierto una serie de sofisticados ataques dirigidos a la denominada cadena de suministro o de terceros, entre los que se incluye el conocido ShadowPad.
Recomendados: Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro. Tendencias TI 2020, visionando el futuro. Webinar ondemand. |
Uno de los principales beneficios de la implementación de políticas de terceros es que resuelven los problemas al definir las áreas de responsabilidad de las organizaciones involucradas. En consecuencia, aumenta las posibilidades de que una empresa obtenga una compensación de un proveedor que se convierte en un punto de entrada para un ataque. El 71% de las empresas con una política de terceros confirmó haber recibido una recompensa monetaria después de un incidente, en comparación con el 22% de aquellas compañías que no tenían ese tipo de regulaciones en vigor. Este tipo de políticas también aumentan la probabilidad de compensación en el caso de las pymes. Por ejemplo, el 68% de las pymes con este tipo de políticas en vigor recibieron compensaciones frente al 28% de las que no implementaron normas para sus proveedores.
El estudio no especifica si las políticas sobre brechas de datos hacen que los ataques a la cadena de suministro sean menos frecuentes. Casi una cuarta parte (24%) de las empresas que implementaron políticas de TI especiales para terceros experimentaron una brecha de datos debido a un incidente de ciberseguridad que afectó a sus proveedores, pero tan sólo el 9% de las empresas que no contaban con dichas reglas confirmaron que habían sufrido un ataque.
"Los resultados de nuestro estudio pueden parecer bastante paradójicos, ya que las empresas con políticas específicas dicen que han experimentado ataques a la red de partners con mayor frecuencia. Sin embargo, podemos sugerir que una empresa con una red más amplia de proveedores prestará más atención a esta área, lo que tiene como resultado la aplicación de directrices específicas. No obstante, una amplia red de proveedores puede hacer que estas violaciones de datos sean más probables. Además, las organizaciones con políticas de terceros pueden determinar con mayor precisión las causas de un incumplimiento en particular", comenta Sergey Martsynkyan, director de Marketing de Productos B2B de Kaspersky.
Para estar protegido de los ataques a las redes de terceros, Kaspersky recomienda actualizar regularmente la lista de socios y proveedores, así como los datos a los que pueden acceder; proporcionar a todos los terceros los requisitos que deben cumplir, incluidas las prácticas de cumplimiento y seguridad; e implantar una solución capaz de detectar ataques avanzados, incluyendo ataques a la cadena de suministro.