La escasez de talento y la dispersión de prioridades elevan el riesgo de ataques a la cadena de suministro
- Seguridad
Una de cada tres organizaciones sufrió un ataque a la cadena de suministro en el último año. Muchas empresas carecen de visibilidad continua sobre su ecosistema de proveedores. La fragmentación de las medidas de protección y la falta de obligaciones claras en los contratos agravan la exposición.
Kaspersky ha publicado un estudio global que identifica los principales frenos que impiden a las organizaciones reducir los riesgos derivados de ataques a la cadena de suministro y relaciones de confianza. Según el informe, la falta de una fuerza laboral cualificada” y “la necesidad de priorizar múltiples tareas de seguridad son citadas por el 42% de los encuestados como barreras clave para abordar estas amenazas.
El análisis confirma que los ataques a la cadena de suministro se han convertido en una de las amenazas más relevantes. No en vano, una de cada tres organizaciones sufrió uno en el último año. Sin personal suficiente para monitorizar vulnerabilidades de terceros, muchas empresas carecen de visibilidad continua sobre su ecosistema de proveedores.
Contratos poco claros y falta de cultura de seguridad
Más allá de la falta de recursos, el estudio revela problemas estructurales. Un 39% de las organizaciones reconoce que sus contratos carecen de obligaciones claras de seguridad TI para los proveedores, especialmente en países como Vietnam, Turquía, España y México. Además, un 32% afirma que el personal no especializado en TI no comprende plenamente estos riesgos, lo que dificulta la coordinación interna.
La percepción de insuficiencia es generalizada. El 85% de las empresas admite que necesita mejorar su protección, y solo un 15% considera que sus medidas actuales son efectivas. En mercados clave como Alemania, Italia o Brasil, la confianza cae incluso por debajo del 10%.
El informe también muestra que las prácticas de mitigación siguen siendo insuficientes y dispersas. Ninguna medida supera el 40% de adopción. Incluso la más común, la autenticación multifactor, solo está implantada en el 38% de las organizaciones. Apenas un 35% revisa de forma regular la postura de seguridad de sus proveedores, lo que deja a casi dos tercios sin visibilidad continua sobre su cadena de suministro.
Las organizaciones que han experimentado ataques de supply chain son más propensos a solicitar resultados de pruebas de penetración (56%), mientras que las víctimas de brechas en relaciones de confianza priorizan la verificación del cumplimiento de estándares (56%) y políticas de cadena de suministro (53%).
Sergey Soldatov, Head of Security Operations Center en Kaspersky, advierte que “cuando los equipos de seguridad están sobrecargados, con poco personal y obligados a priorizar tareas urgentes, las organizaciones quedan expuestas a amenazas que pueden moverse silenciosamente por el ecosistema de proveedores”. Subraya que la seguridad de la cadena de suministro debe convertirse en “una responsabilidad compartida y exigible en toda la red empresarial”.
Kaspersky propone varias medidas para reforzar la resiliencia, entre ellas adoptar servicios gestionados de seguridad como MDR o respuesta a incidentes, invertir en formación avanzada para equipos de ciberseguridad, evaluar rigurosamente a los proveedores antes de cerrar acuerdos, incluir requisitos de seguridad específicos en los contratos, y colaborar estrechamente con proveedores para elevar el nivel de protección en ambos lados.
