La mayor parte de las entidades somos clientes y proveedores, y no nos gusta la idea de vernos afectados por la falla de ciberseguridad de uno de nuestros suministradores, por mucho que hayamos invertido en seguridad. Pero, ¿dedicamos los suficientes recursos? ¿Hasta que punto tenemos un buen sistema de gestión de riesgos? ¿Tenemos una noción real de cuáles son los mejores mecanismos para tal fin? Si las relaciones comerciales se basan en la confianza, ¿qué herramientas utilizamos para saber en qué proveedor confiar y cuánto?
Situación general: muy atentos a la ciberseguridad
En 2017 comenzamos a pulsar la opinión sobre ciberseguridad en la cadena de valor en la empresa española con un primer estudio, pero ha sido en 2022 cuando hemos encontrado un mayor nivel de preocupación sobre el tema. Casi la totalidad de los encuestados (95,7%) se muestran muy preocupados por la seguridad, ya sea propia o de sus proveedores.
Esta creciente preocupación va en línea con la, también creciente, importancia de la ciberseguridad per se, manifestada en ligeros aumentos, tanto del nivel de riesgo percibido respecto al estudio anterior, como en un incremento en la inversión global en ciberseguridad.
Este crecimiento de la inversión supera, tanto al nivel de preocupación, como al nivel de riesgo percibido por primera vez, quizá porque las organizaciones están comenzando a invertir allí donde dicen que más preocupadas están.
Más preocupados por afectar a los clientes que a los proveedores
Al ser preguntados por las principales preocupaciones en la empresa referidas a la ciberseguridad, la mayor parte mira hacia arriba en la cadena de valor con la inquietud, como proveedor, de proteger los datos de los clientes. Casi tres de cada cuatro encuestados (72,3%) colocan en primer puesto la protección de la información que le ha sido cedida. En el lado opuesto, tener un incidente de seguridad que afecte a proveedores y terceras partes queda relegado a un sexto lugar en las prioridades.
Sin embargo, al ser preguntados específicamente por la seguridad de los proveedores, sí que existe un alto nivel de preocupación, con más de cuatro de cada cinco encuestados que se manifiestan inquietos por la seguridad de sus proveedores. Es decir, la inmensa mayoría de las organizaciones se muestran muy preocupadas por sufrir un accidente por causa de sus proveedores, pero muy poco por afectar a sus proveedores.
La mitad del riesgo depende del nivel de protección de la cadena de suministro, y una cadena es tan fuerte como su eslabón más débil
Hay motivos para la inquietud: Los proveedores como vector de ataque
En el escenario actual, donde la cadena de valor es más compleja y se externalizan más y más servicios y procesos, la dependencia de terceros con acceso a información interna de la compañía o conectados a la red interna es mayor que nunca. En ambos casos rondan la mitad de los proveedores: los primeros suponen un 48,9 por ciento y los segundos un 53’7.
La mitad del riesgo de una organización depende del nivel de protección de su cadena de suministro, y una cadena es tan fuerte como su eslabón más débil. Los datos indican que dos de cada cinco ataques han llegado a través de proveedores. Esto es motivo de preocupación porque, como se indica en el apartado anterior, dedicamos atención y recursos para la protección de los clientes, pero no tanto para conocer la de nuestros proveedores. Y cuando lo hacemos es, en general, de forma poco regular y sin utilizar los mecanismos más adecuados.
Gestión de riesgos: evaluación a proveedores con pocas garantías
El mecanismo más utilizado (63,8%) para evaluar a proveedores, y creciendo, es el cuestionario de autoevaluación, cuyas respuestas están muy condicionadas por el interés comercial hacia el cliente. No es, por tanto, un sistema especialmente seguro.
Por contra, mecanismos que se encuentran entre los más seguros y confiables, como la calificación (16,9%) y las auditorías (13,1%), son los menos utilizados.
Se evalúa poco y confiamos mal
De aquellos que sí evalúan a sus proveedores, solo la mitad lo hace anualmente. Un tercio, aproximadamente, los examina apenas al inicio de la relación. Y lo que es más preocupante, un 14,9 por ciento de las organizaciones no los evalúa nunca.
Por otro lado, la certificación del Sistema de Gestión de Seguridad de la Información ISO 27001 sigue siendo el mecanismo más utilizado para confiar en la seguridad de un tercero, cuando sabemos que, en realidad, esta certificación solo hace referencia a disponer de un sistema de gestión de riesgos, que no a contar con un nivel mínimo de seguridad. Esta situación genera un problema de falsa sensación de seguridad que, además, frena el desarrollo de mecanismos más adecuados como las certificaciones de producto, las auditorías exhaustivas o las calificaciones de capacidades.
Ciberconsejos en la gestión de riesgos
En resumen, el estudio permite ver una evolución positiva en la concienciación y el conocimiento en relación a la ciberseguridad de la cadena de suministro, al mismo tiempo que muestra que todavía hay una preocupante falta de exigencia de garantías a terceros cuando suponen el vector de ataque en la mitad de los incidentes. Por eso, y porque hay un gran margen de mejora, para aquellas organizaciones que quieran mejorar la seguridad de la cadena (no olvidemos que cada mejora sobre una entidad en un ecosistema comercial hace que todos, en conjunto, seamos más fuertes) pueden
ser útiles estos cinco consejos que dibujan un camino por delante más sólido en la gestión de riesgos:
- Involucrar a todos los actores corporativos: no es posible gestionar el riesgo de terceros eficientemente si no se implican todas las áreas afectadas: Negocio, Compras, Cumplimiento, de legado de protección de datos, Riesgos y Ciberseguridad.
- Diseñar un proceso holístico: el hecho de estar en una posición débil de defensa hace que el menor resquicio pueda generar un incidente significativo. Por ello, el proceso debe abordar todas las relaciones con terceros (no solo proveedores).
- Integrar la ciberseguridad como otro riesgo más en el proceso de aprovisionamiento: la ciberseguridad debe formar parte de la negociación con el mismo proveedor en la misma medida que el resto de componentes del servicio.
- Identificar y caracterizar el inventario de servicios de terceros: lo que no se conoce no se puede proteger; es necesario saber cuántos servicios se han subcontratado y cómo de críticos son para nuestra organización.
- Confíe, pero verifique: los cuestionarios no son fiables, ni tampoco los sistemas de gestión. Es necesario que la información esté confirmada (mejor por el propio proveedor y con un tercero independiente).
Referencias
- La encuesta para este estudio, realizado entre marzo y mayo de 2022, fue contestada por representantes de 188 organizaciones, en mayor medida de las consideradas de gran tamaño.
- El IV Estudio de empresas y ciberseguridad se puede descargar para su consulta en la página de documentación de la web de Leet Security.
