A pesar de tener locales y terminales digitales bien defendidos (se abre en una pestaña nueva)muchas empresas corren el riesgo de sufrir ataques cibernéticos porque trabajan con diferentes proveedores y terceros que no son tan seguros.
Esto es según un nuevo informe de la firma de calificación de seguridad cibernética SecurityScorecard, que analizó más de 235 000 organizaciones en todo el mundo, así como 73 000 proveedores y productos que utilizan, para encontrar que prácticamente todas las empresas (98 %) tienen relaciones de proveedores con al menos un tercero. que sufrió una violación de datos en los últimos dos años.
Además, la mitad de las organizaciones tienen relaciones indirectas (como las que usan los proveedores externos) con al menos 200 empresas que sufrieron un ataque cibernético en los últimos dos años.
F de seguridad
Por cada proveedor externo en una cadena de suministro, las empresas generalmente tienen relaciones indirectas con 60 a 90 veces esa cantidad de relaciones con terceros, según descubrieron los investigadores. Dado que los terceros tienen hasta cinco veces más probabilidades de exhibir una seguridad deficiente, el riesgo se agrava rápidamente.
Aproximadamente una décima parte (10 %) de todos los terceros analizados para el informe recibieron una calificación F en seguridad.
En cuanto a las diferentes industrias, el sector de servicios de información tiene un promedio de 25 proveedores, mientras que el sector financiero tiene un promedio de 6,5. El cuidado de la salud promedió 15.5 proveedores, mientras que el seguro tiene 11. Cada uno representa un riesgo significativo para la organización original.
Los ciberdelincuentes parecen ser muy conscientes de estos hechos, ya que los ataques a la cadena de suministro se han convertido últimamente en una de las formas más devastadoras de ciberdelincuencia. El ataque a SolarWinds, en el que solo una empresa vio comprometido su software y que resultó en que decenas de miles de organizaciones en todo el mundo se vieran afectadas, es probablemente el mejor ejemplo.
“La superficie de ataque de una organización se extiende más allá de la tecnología que posee o controla”, dijo Aleksandr Yampolskiy, cofundador y director ejecutivo de SecurityScorecard.
“Las organizaciones necesitan visibilidad de las calificaciones de seguridad de todo su ecosistema de terceros y cuartos para que puedan saber en un instante si una organización merece su confianza y puede tomar medidas proactivas para mitigar el riesgo”.