Informe de ciberresiliencia 2023
Este artículo 3 es parte 16 de este informe.
October 11, 2023 / 3 minuto(s) de lectura
Los ciberataques a las cadenas de suministro están causando un impacto generalizado
Hoy en día, uno de los mayores retos a la hora de gestionar los ciberataques en la cadena de suministro es comprender el amplio perfil de amenazas y los controles básicos de la empresa.
Conclusiones principales
- En general, los clientes declararon que la mejora de la gestión de riesgos de terceros había sido insignificante.
- Ningún sector ha logrado aún un enfoque sólido y sistemático en la gestión de riesgos de terceros.
- Solo el 46 % de los clientes informaron de la autenticación multifactor (MFA) para el acceso remoto de terceros a la tecnología operativa.
La transformación digital tras la pandemia implicó un proceso de digitalización en la cadena de suministro ascendente y descendente de todas las organizaciones. La combinación de problemas en la cadena de suministro de microchips y la aparición de numerosos malware parece haber creado una tormenta perfecta.1
Las cadenas de suministro mundiales de todos los sectores se enfrentan al reto de un entorno dinámico e impredecible. Las persistentes incertidumbres geopolíticas, unidas a las nuevas normativas y sanciones internacionales, aumentan el riesgo de sanciones y de interrupción de la cadena de suministro.2 El riesgo cibernético, sobre todo el riesgo de terceros y cuartos, incrementa enormemente esta complejidad. Aunque la visibilidad y la fiabilidad de las cadenas de suministro se ven muy favorecidas por la conectividad digital, los atacantes también salen ganando con la consiguiente ampliación de la superficie de ataque. Hoy en día, uno de los mayores retos a la hora de gestionar los ciberataques en la cadena de suministro es comprender el amplio perfil de amenazas y los controles básicos de la empresa.
El impacto de un ataque a la cadena de suministro puede ser generalizado. Con miles de proveedores en potencia, un incidente en la cadena de suministro puede tener consecuencias muy variadas, más allá de la interrupción de la actividad empresarial. Los riesgos para la seguridad de las personas son una preocupación clave. Por ejemplo, un fabricante de equipos originales (OEM) de automoción que depende de dispositivos de otros OEM podría producir coches conectados en situación de riesgo. Después están los riesgos políticos de los vendedores establecidos en lugares geopolíticamente volátiles, o los nuevos riesgos de los vendedores que operan en un marco normativo más adverso. La complejidad y las posibles repercusiones de estos ataques a la cadena de suministro subrayan la necesidad de una gestión eficaz de los riesgos, lo que deja una cosa bien clara: la supervisión exhaustiva y la comprensión de los riesgos de terceros son cruciales.
Los resultados de CyQu de Aon ofrecen una visión esencial de esta cuestión. Esto es lo que indicaron los clientes de Aon.
Resultados de CyQu de Aon: informe de clientes de Aon
Al examinar los resultados de CyQu, los clientes de todos los sectores informaron de una mejora insignificante en la gestión de riesgos de terceros, con una puntuación media global de 2,2 en 2022. Para ponerlo en contexto, una puntuación de 2,2 representa un nivel bajo de madurez en la gestión de riesgos de terceros, lo que sugiere que la mayoría de las organizaciones se encuentran todavía en las primeras fases de establecimiento de prácticas sólidas de gestión de riesgos. A esto hay que sumar el hecho de que el ámbito de terceros recibió la puntuación de CyQu más baja de los nueve ámbitos puntuados. En particular, ningún sector ha logrado aún un enfoque sólido y sistemático en la gestión de riesgos de terceros. Estos resultados ponen de manifiesto los importantes retos a los que se enfrentan las empresas a la hora de gestionar los riesgos de la cadena de suministro, además de la urgente necesidad de estrategias de gestión de riesgos más completas y eficaces. Este resultado no sorprende. Comprender el riesgo que acarrean todos los proveedores supone un gran esfuerzo, y la conexión cada vez más profunda de toda la pila tecnológica de una empresa aumenta exponencialmente el riesgo de terceros.
Desde un punto de vista sectorial, los sectores de la construcción y el manufacturero mejoraron su perfil general de riesgos de terceros de «inicial» a «básico». Sin embargo, la construcción solo registró una madurez del riesgo «inicial» en la diligencia de terceros, «básica» en la gestión de contratos y «gestionada» en la gestión de inventarios de terceros.
Puntuaciones del riesgo de CyQu en ámbitos de terceros
| Sector | 2020 | 2022 | Cambio |
|---|---|---|---|
| Sector industrial | 1.8 | 2.0 | +0.2 |
| Otros sectores* | 1.9 | 2.1 | +0.2 |
| Otros servicios** | 2.0 | 2.2 | +0.2 |
| Información, software y tecnología | 2.3 | 2.5 | +0.2 |
| Finanzas y seguros | 2.3 | 2.5 | +0.2 |
| Sanidad y asistencia social | 2.1 | 2.3 | +0.2 |
| Servicios profesionales, científicos y técnicos | 2.1 | 2.5 | +0.4 |
| Comercio minorista | 2.0 | 2.2 | +0.2 |
| Transporte y almacenamiento | 1.8 | 1.9 | +0.1 |
| Construcción | 1.7 | 2.0 | +0.3 |
| Servicios educativos | 2.1 | 2.1 | +0.0 |
| Mercado inmobiliario, de alquileres y arrendamientos | 2.1 | 2.3 | +0.2 |
Clasificación de la madurez del riesgo de CyQu
Inicial: 1.0 - 1.9
Básica: 2.0 - 2.5
Gestionada: 2.6 - 3.4
Avanzada: 3.5 - 4.0
* La categoría «Otros sectores» representa las respuestas de clientes de los siguientes sectores: servicios de alojamiento y alimentación, agricultura, artes, entretenimiento y ocio, gestión de empresas y sociedades, administración pública, servicios públicos, gestión de residuos y servicios de saneamiento, administración y asistencia y comercio al por mayor.
** La categoría «Otros servicios» la selecciona el cliente.
Las empresas de servicios profesionales percibieron una mejora del perfil de riesgo en esas mismas categorías. La puntuación de los servicios profesionales (2,5) situó al sector en línea con el de las finanzas y seguros y el del software y la tecnología de la información, que tradicionalmente han sido los que mejores resultados han obtenido en el riesgo de terceros, en parte debido al entorno normativo que determina sus decisiones en materia de seguridad.
Según los datos del complemento de tecnología operativa, el 54 % de los clientes carecía de autenticación multifactor (MFA) para el acceso remoto de terceros a la tecnología operativa, lo que aumenta el riesgo de brechas en la red.
Referencias
1 «Conditions are Right for a Cyber Attack Like We Have Never Seen Before». Aon. Artículo. Octubre de 2022. Conditions are Right for a Cyber Attack Like We Have Never Seen Before | Aon
2 «Three International Regulations that Will Impact US Supply Chains in 2023». Lamba, John. Artículo. Forbes. 9 de marzo, 2023. Obtenido de https://www.forbes.com
Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. y Aon Risk Services, Inc. de Florida, y sus filiales autorizadas ofrecen los productos y servicios de seguros.
La información aquí contenida y las afirmaciones expresadas son de carácter general, no pretenden abordar las circunstancias de ninguna persona o entidad en particular y se facilitan únicamente con fines informativos. Esta información no sustituye el asesoramiento de un asesor jurídico o de un profesional de seguros cibernéticos y no debe utilizarse para tal fin. Si bien nos esforzamos por proporcionar información exacta y oportuna y utilizamos fuentes que consideramos fiables, no puede garantizarse que dicha información sea exacta en la fecha en que se recibe o que siga siéndolo en el futuro.
Gestionar el riesgo cyber en seis temas destacados.
El informe de este año es una guía para que los directivos comparen la madurez del riesgo de su organización con la de otras empresas similares y para ayudarles a tomar mejores decisiones sobre la gestión cibernética en seis temas de riesgo destacados: cibernético, operativo, de la cadena de suministro, interno, de reputación y sistémico.
