Un nuevo estudio de Kaspersky, “Supply chain reaction: securing the global digital ecosystem in an age of interdependence”, revela que más del 66% de las empresas globalmente estarían dispuestas a invertir en la seguridad de sus contratistas y proveedores para garantizar su protección frente a ciberataques; mientras que un 25% ya lo está haciendo. Este cambio refleja que los proveedores pasan a considerarse parte de un ecosistema de seguridad interconectado.

En un contexto marcado por el aumento de los ataques a la cadena de suministro, que han afectado a casi una de cada tres empresas1, y de los ciberataques basados en relaciones de confianza (que impactan a una de cada cuatro compañías a nivel global), las organizaciones están revisando su enfoque de seguridad. Cada vez es más evidente que el riesgo cibernético propio depende también del nivel de protección de cualquier proveedor o socio con acceso a sus sistemas e infraestructuras.

Según el estudio, el 69% de las organizaciones está valorando invertir en la seguridad de sus proveedores para reforzar su propia resiliencia. Esta predisposición es especialmente elevada en países como India (83%), Indonesia (80%), Rusia (80%) y Brasil (76%). En mercados como Indonesia, Brasil o Rusia, además, se observa un mayor nivel de confianza en los proveedores, reflejado en un número superior a la media de terceros con acceso a los sistemas corporativos.

Al mismo tiempo, el 25% de las empresas ya ha comenzado a compartir los costes de seguridad con sus proveedores, pasando de la intención a la acción. Esta práctica presenta una mayor adopción en España (33%), Hong Kong y Taiwán (33%), Turquía (31%) y Vietnam (31%).

“Hoy las empresas son conscientes de que la seguridad no puede limitarse a los límites de su propia organización, sino que debe extenderse a todo el ecosistema. Las empresas más pequeñas suelen carecer de las capacidades de seguridad de las grandes organizaciones a las que prestan servicio, lo que introduce riesgos adicionales. Compartir recursos y conocimiento permite cerrar estas brechas, reforzar los puntos débiles de la cadena de dependencias y avanzar hacia una mayor resiliencia cibernética global”, afirma Sergey Soldatov, responsable del Centro de Operaciones de Seguridad en Kaspersky.

Para reducir los riesgos asociados a la cadena de suministro, Kaspersky recomienda adoptar medidas organizativas que incluyan una evaluación rigurosa y basada en evidencias de los proveedores de software. Analizar sus prácticas de seguridad, revisar sus procesos de desarrollo y aplicar marcos estructurados de evaluación permite garantizar que solo soluciones seguras formen parte de la infraestructura interna.

Además, para mitigar los riesgos derivados de terceros, los analistas de Kaspersky recomiendan:
· Colaborar estrechamente con los proveedores en materia de ciberseguridad, reforzando las medidas de protección de forma conjunta.
· Evaluar en profundidad a los proveedores antes de formalizar acuerdos, revisando sus políticas de seguridad, historial de incidentes y cumplimiento de estándares.
· Analizar vulnerabilidades y pruebas de penetración en productos software y servicios cloud, e incluso realizar pruebas dinámicas de seguridad cuando sea necesario.
· Incluir requisitos específicos de ciberseguridad en los contratos, como auditorías periódicas o protocolos de notificación de incidentes. · Adoptar medidas tecnológicas preventivas, como el principio de mínimo privilegio, el modelo Zero Trust o una gestión avanzada de identidades.