El nuevo estudio global de Kaspersky, “Supply chain reaction: securing the global digital ecosystem in an age of interdependence” ha identificado la falta de profesionales cualificados en seguridad IT y la necesidad de priorizar adecuadamente las tareas de ciberseguridad como dos de los principales factores que dificultan la mitigación de los riesgos asociados a la cadena de suministro y a las relaciones de confianza. Ambos aspectos son señalados por cerca de la mitad (42%) de los encuestados en España.

Según el estudio de Kaspersky sobre riesgos en la cadena de suministro y relaciones de confianza, estos ciberataques se han consolidado como una de las principales amenazas para las empresas, ya que una de cada tres organizaciones ha sufrido un incidente de este tipo en el último año. La frecuencia y gravedad de estos ataques hacen necesario identificar los factores que impiden a las empresas gestionarlos de forma eficaz.

Falta de talento y prioridades fragmentadas

Uno de los principales obstáculos para reducir estos riesgos es la escasez de profesionales cualificados en ciberseguridad. Esta carencia limita la capacidad de las organizaciones para supervisar de forma continua las vulnerabilidades de terceros dentro de sus ecosistemas. La necesidad de especialistas en este ámbito es especialmente elevada en países como España, Vietnam, Emiratos Árabes Unidos y México.

Otro desafío relevante es la necesidad de gestionar múltiples prioridades de ciberseguridad al mismo tiempo, lo que provoca que los equipos estén sobrecargados y que determinadas amenazas, como las relacionadas con la cadena de suministro, queden desatendidas. Este factor es especialmente notable entre los encuestados de India, Vietnam, Singapur y Egipto.

Problemas estructurales en la gestión de proveedores

Más allá de la falta de recursos, las organizaciones también se enfrentan a problemas estructurales. El 39% de los encuestados afirma que sus contratos con proveedores no incluyen obligaciones claras en materia de ciberseguridad, una situación especialmente visible en países como Vietnam, Turquía, España y México. Además, un 32% reconoce que el personal no especializado en seguridad IT no comprende plenamente estos riesgos.

A nivel global, el 85% de las empresas admite que necesita mejorar sus medidas de protección frente a los riesgos de la cadena de suministro, mientras que solo el 15% considera que sus controles actuales son realmente eficaces. Este nivel de confianza es aún menor en economías clave como Alemania (6%), Turquía (7%), Italia (8%), Brasil (8%), Rusia (8%) o Arabia Saudí (9%).

Prácticas de protección aún insuficientes

El estudio también revela que las medidas actuales para mitigar los riesgos de terceros siguen siendo fragmentadas. Ninguna práctica supera el 40% de adopción entre las organizaciones. Incluso la medida más extendida, la autenticación en dos factores, solo es utilizada por el 38% de los encuestados.

Asimismo, solo el 35% de las empresas realiza revisiones periódicas de la postura de ciberseguridad de sus proveedores. Como resultado, cerca de dos tercios de las organizaciones carecen de visibilidad continua sobre la seguridad de sus socios, lo que incrementa su exposición a vulnerabilidades.

El informe también muestra que las empresas que ya han sufrido este tipo de ciberataques tienden a adoptar medidas más avanzadas. Por ejemplo, aquellas afectadas por incidentes en la cadena de suministro son más propensas a solicitar resultados de pruebas de penetración (56%), mientras que las víctimas de ataques basados en relaciones de confianza priorizan la verificación del cumplimiento de estándares del sector (56%) y las políticas de seguridad de sus proveedores (53%).

“Cuando los equipos de seguridad están sobrecargados, carecen de personal suficiente y se ven obligados a priorizar tareas urgentes frente a objetivos de resiliencia a largo plazo, las organizaciones quedan expuestas a amenazas que pueden propagarse de forma silenciosa a través de su ecosistema de proveedores. Para romper este ciclo, es necesario adoptar estrategias de mitigación más unificadas y coherentes, desde evaluaciones estandarizadas de proveedores hasta una mayor concienciación entre equipos. La seguridad de la cadena de suministro debe convertirse en una responsabilidad compartida y exigible en toda la red empresarial”, afirma Sergey Soldatov, responsable del Centro de Operaciones de Seguridad en Kaspersky.

Solo mediante la implementación de medidas preventivas a nivel organizativo y un enfoque estratégico en la gestión de proveedores y contratistas será posible reducir los riesgos en la cadena de suministro y garantizar la resiliencia del negocio.

Recomendaciones de Kaspersky
· Para mitigar estos riesgos, Kaspersky recomienda:
· Adoptar servicios de seguridad gestionados, como Kaspersky Managed Detection and Response (MDR) o Incident Response, especialmente en organizaciones sin recursos internos suficientes.
· Invertir en formación en ciberseguridad para empleados, mediante programas como Kaspersky Cybersecurity Training.
· Evaluar en profundidad a los proveedores antes de establecer acuerdos, revisando sus políticas de seguridad, historial de incidentes y cumplimiento normativo.
· Incluir requisitos específicos de ciberseguridad en los contratos con proveedores, como auditorías periódicas o protocolos de notificación de incidentes.
· Colaborar estrechamente con proveedores en materia de seguridad para reforzar la protección conjunta.