93% de las empresas han sufrido un ciberataque directo, debido a vulnerabilidades en su cadena de suministro
BlueVoyant, empresa de servicios de ciberseguridad, publicó hoy los hallazgos de su segunda encuesta global anual sobre la gestión de riesgos cibernéticos de terceros. El estudio revela que el 97% de las empresas encuestadas se han visto afectadas negativamente por una brecha de seguridad cibernética que se produjo en su cadena de suministro. El 93% admitió que ha sufrido una brecha de seguridad cibernética directa debida a vulnerabilidades en su cadena de suministro y el número promedio de incidentes experimentados en los últimos 12 meses creció de 2.7 en 2020 a 3.7 en 2021, un incremento año a año del 37%.
El estudio fue realizado por una organización de investigación independiente, Opinion Matters, y registró las opiniones y experiencias de 1.200 CIOs, CISOs y CPOs en organizaciones con más de 1.000 empleados en múltiples sectores que abarcan: servicios empresariales, servicios financieros, atención médica y farmacéutica, manufactura, servicios públicos y energía y defensa.
Otros hallazgos clave de la encuesta incluyen:
Sólo el 13% de las empresas dijo que el riesgo cibernético de terceros NO era una prioridad, una caída en comparación con el año pasado, cuando el 31% de las empresas dijo que el riesgo cibernético de la cadena de suministro y de terceros no estaba en su radar.
El 38% de los encuestados dijo que no tenía forma de saber cuándo o si surge un problema con la ciberseguridad de un proveedor externo, en comparación con el 31% del año pasado.
El 91% dice que el presupuesto para la gestión del riesgo cibernético de terceros aumentará en 2021, en comparación con el 91% que dijo esto en 2020.
Si bien los presupuestos aumentan, las empresas siguen experimentando múltiples puntos débiles: Los informes sobre la escala en los aumentos de presupuesto coincidieron casi exactamente con las cifras del año pasado. El 29% de las empresas informaron aumentos en el presupuesto del 26 al 50%; El 42% informó un aumento del 51-100% y el 17% informó aumentos del 100% o más. En general, el 91% está planificando incrementos en el presupuesto.
Sin embargo, la eficacia de estas inversiones se ve limitada por el aumento de los ataques. Las empresas encuestadas informan una distribución casi equitativa de los puntos débiles: gestionar falsos positivos, gestionar el volumen de datos, priorizar el riesgo y conocer su propia posición de riesgo, entre otros. El hecho de que las empresas estén informando sobre tantos problemas sugiere que los presupuestos más grandes aún no están resultando en una reducción suficiente del riesgo.
Variaciones en los sectores industriales: El análisis de las respuestas de diferentes sectores comerciales reveló variaciones considerables en sus experiencias de riesgo cibernético de terceros:
El sector de servicios empresariales tiene el mayor número de empleados en sus equipos de ciberseguridad o riesgo y, en consecuencia, era más probable que monitoree el riesgo de terceros a diario.
El sector de la salud exhibió la tasa más alta de conciencia del riesgo cibernético de terceros y el 55% dijo que identificar el riesgo era una prioridad clave, en comparación con un promedio del 42%. Sin embargo, este sector también reportó altas cifras de infracciones, con un 29% reportando de 6 a 10 infracciones en los últimos 12 meses, en comparación con un promedio del 19%.
Los encuestados de sector de manufactura tiene menos probabilidades de identificar el riesgo de ciberseguridad de la cadena de suministro / terceros como una prioridad clave y es más probable que informaran solo de manera anual.
Los aumentos en el presupuesto demuestran que las empresas están reconociendo cada vez más la necesidad de invertir en ciberseguridad y gestión de riesgos de los proveedores. Sin embargo, la amplia pero constante variedad de puntos débiles sugiere que esta inversión no es tan efectiva como debería ser.
América Latina presenta el mismo comportamiento al que se observa en general en el resto del mundo, presentando un énfasis particular en los servicios financieros y sectores de manufactura y retail. En ese sentido se observa en la región un incremento en el reconocimiento de este tipo de amenazas, y con ello un mayor interés en la adopción de soluciones que permitan identificar el riesgo de terceros y mitigar sus consecuencias.
Adam Bixler, Director Global de Gestión de Ciberriesgo de Terceros – dijo: “Nuestra investigación muestra que existen grandes concentraciones de riesgo cibernético por parte de terceros desconocidos en sectores verticales, cadenas de suministro y proveedores de manera general en Latinoamérica. Por eso creemos que hay una gran oportunidad para que las organizaciones inviertan en tecnología para prevenir esto, sabemos que es un aumento en el presupuesto, que vale la pena para mitigar un riesgo mayor, ayudando a cerrar las brechas en visibilidad, estrategia y monitoreo».