Según el estudio elaborado por Leet Security con la colaboración del Club Excelencia en Gestión, se calcula que un 46,8% de los incidentes que han afectado a las compañías encuestadas fue originado sobre sus proveedores
AltoDirectivo
Las organizaciones públicas y privadas están detectando un importante aumento de ataques cibernéticos relacionados con sus proveedores a lo largo de la cadena de suministro. Según el III Estudio ‘Empresas y Ciberseguridad’, se calcula que estos se han multiplicado por tres desde mediados de 2018, cuando se publicó el anterior informe. En concreto, un 46,8% de los incidentes que han afectado a los encuestados fue originado sobre sus proveedores.
Esta serie de estudios han sido elaborados por Leet Security, entidad independiente que se dedica a la calificación de la seguridad de servicios TIC, en colaboración con el Club Excelencia en Gestión, asociación empresarial sin ánimo de lucro que ayuda a compartir conocimiento sobre gestión excelente, innovadora y sostenible y que reconoce el nivel de las organizaciones a través de premios a las Buenas Prácticas y del Sello EFQM.
El informe más reciente, elaborado con datos de 115 organizaciones recogidos entre abril y mayo de 2020, muestra la creciente preocupación de los empresarios por la ciberseguridad, especialmente por el aumento de proveedores relevantes para la prestación de los servicios, que se deriva de la digitalización de los modelos de negocio. La crisis de la COVID-19 y la explosión forzada del teletrabajo han sido también determinantes en estos resultados.
Casi el 61% de los encuestados declara tener prestadores de servicios que se conectan a sus sistemas. Y un 55,7% afirma que su información se gestiona en los propios sistemas del proveedor. Por otra parte, el estudio indica que la normativa que exige la implementación de procesos de gestión de riesgos de terceros lleva creciendo desde hace meses: la implantación de la Autoridad Bancaria Europea (EBA) en el sector financiero; del Reglamento General de Protección de Datos (RGPD); de la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA); y de la Autoridad Europea de Valores y Mercados (ESMA) para las entidades cotizadas serían los ejemplos más destacados.
De esta manera, son muchas las organizaciones que están poniendo en marcha programas de gestión de riesgos de terceros, orientados a disponer de información fiable sobre el nivel de seguridad de sus potenciales proveedores y lograr una toma de decisiones lo más eficiente posible.
Sin embargo, según los resultados de la encuesta, casi un 20% de las organizaciones encuestadas no evalúa en absoluto a sus empresas proveedoras de servicios, una cifra muy preocupante. Y apenas la mitad incluyen en sus programas tanto la selección como la supervisión de éstas. El mecanismo más utilizado para ello (un 64,3% de los casos) es la certificación del Sistema de Gestión de Seguridad de la Información, a pesar de que no aporta ninguna información sobre el nivel de seguridad del servicio.
El ejemplo más claro que destaca el estudio es el de las compañías que utilizan servicios en la nube: un 83,5% de los encuestados utilizan este tipo de tecnologías, pero el 16,5% no se preocupan por el nivel de seguridad que ofrecen sus empresas proveedoras.
El estudio incluye un apartado dedicado a las organizaciones que basan sus estrategias y sus sistemas de gestión en el Modelo EFQM, una metodología con más de 25 años de desarrollo que utilizan más de 50.000 entidades públicas y privadas en todo el mundo y que en España está impulsada por el Club Excelencia en Gestión.
El 96% de estas organizaciones se muestran muy precavidas ante los niveles de ciberriesgo frente al 78% del resto de empresas consultadas. Esto apunta a una mayor conciencia del peligro derivado, que también se trasladó al ámbito de la detección y la monitorización de la seguridad. La muestra está en que, según los datos del informe, el 72% de las organizaciones que tienen o que utilizan el Modelo EFQM son conscientes de haber sufrido algún ciberataque o acceso no autorizado a sus sistemas o a su información en los últimos 12 meses, frente a una media del 42% en el resto de las organizaciones consultadas.
“Se podría decir que la excelencia conlleva un mejor conocimiento de uno mismo y un trabajo de concienciación en gestión de riesgos. Algo que es, claramente, el primer paso para mejorar en materia de ciberseguridad”, asegura Antonio Ramos, CEO de Leet Security. Y añade: “La mayoría de organizaciones están avanzando en implementar programas de gestión de riesgos de terceros. Estos programas están orientados a disponer de información lo más fiable posible sobre el nivel de seguridad de dichos terceros que permita una mejor toma de decisiones por las áreas decisoras”.
“La crisis que en estos momentos estamos sufriendo, provocada por un virus biológico, debería ser una clara advertencia de lo que podría traernos una ciberpandemia. Debemos protegernos a lo largo de todo nuestro ecosistema, incluyendo los diferentes grupos de interés que nos rodean. Cada vez estamos más interrelacionado y globalizados, así que lo que nos afecte a nosotros también afectará a muchas otras organizaciones”, indica Ignacio Babé, secretario general y CEO del Club Excelencia en Gestión.
*Si te ha resultado interesante este artículo, te animamos a seguirnos en TWITTER y a suscribirte a nuestra NEWSLETTER DIARIA.
Alto Directivo