La cadena de suministros fue el gran objetivo del segundo semestre de 2021

Pocas palabras dan más miedo a los responsables de infraestructuras, de un tiempo a esta parte, que cadena de suministros. Y es que, si antes ya era un vector de ataque más que identificado y, por lo tanto, a temer, tras lo ocurrido a finales de 2020 con SolarWinds quedó claro lo peligroso que puede llegar a ser confiar en un proveedor externo que no protege su propia seguridad. Y es que, guste o no, los elementos de la cadena de suministros forman también parte de nuestra infraestructura.

Era previsible, claro, que tras la experiencia de SolarWinds, los proveedores de servicios pasaran a ser el principal objetivo de ciberdelincuentes. Y es que, al lograr comprometer la seguridad de un proveedor, automáticamente puedes llegar a ganar acceso a las infraestructuras de todos sus clientes, salvo que estos hayan tomado medidas específicas para protegerse frente a riesgos de este tipo. El «beneficio» se multiplica exponencialmente, frente al de atacar a una única empresa.

Esto nos explica que cada vez más organismos estén trabajando de manera activa para evaluar y mitigar estos riesgos, con ejercicios como el iniciado por la Unión Europea a principios de este año. Pero, por otra parte, también nos explica la razón por la que, como podemos leer en Infosecurity, los ataques a la cadena de suministros se incrementaran en nada menos que un 51% durante el segundo semestre de 2021, al punto de convertirse en una de las principales preocupaciones de los responsables de IT y seguridad.

Estos datos salen de un estudio llevado a cabo por el Grupo NCC en el que se encuestó a 1.400 responsables de la toma de decisiones de seguridad en organizaciones con más de 500 empleados en 11 países. El objetivo del estudio era avanzar en la comprensión de los riesgos asociados a la cadena de suministros desde la perspectiva de las organizaciones que depende de la misma para llevar a cabo sus actividades. Y además de medir el citado incremento, también se desvelaron algunos datos muy interesantes.

Por ejemplo, la investigación reveló cierta confusión sobre qué parte es responsable de prevenir, detectar y mitigar el riesgo de la cadena de suministro. Algo más de un tercio,  el36% de los encuestados, dijo que su organización era más responsable que sus proveedores, mientras que  el 53 % afirmó que la responsabilidad estaba igualmente dividida. Esto es interesante, pues señala que cada vez hay más consciencia sobre la responsabilidad propia frente a este tipo de ataques.

Por otra parte, la preocupación por este tipo de ataques, como ya indicaba anteriormente, es realmente latente. Y es que tan solo un 32% de los participantes en el estudio afirmaron tener «Mucha confianza» en su capacidad para responder de una manera rápida y eficaz a una brecha de seguridad con origen en la cadena de suministros. Dicho de otra manera, dos de cada tres empresas dudan de su capacidad para hacer frente a esta amenaza.

Casi la mitad, el 49% de las organizaciones encuestadas por NCC Group dijeron que no han estipulado estándares de seguridad que sus proveedores deban cumplir como parte de sus contratos. Y un tercio afirmó que no chequean ni evalúan de manera regular los riesgos de los de sus proveedores. Este dato es, sin duda, de los más escalofriantes, pues indican que la consciencia sobre este tipo de amenazas, pese a la gran cantidad de titulares que han protagonizado estos últimos tiempos, todavía no es global.

La entrada La cadena de suministros fue el gran objetivo del segundo semestre de 2021 es original de MuySeguridad. Seguridad informática.