En la última ola de ataques cibernéticos de alto perfil, el gigante global de ropa deportiva Adidas ha confirmado que una violación de datos que afecta a los clientes que contactó a su mesa de ayuda. La Compañía declaró que los datos robados «consisten principalmente» en la información de contacto, sin contraseñas ni detalles de pago comprometidos. Si bien esta violación puede parecer menor en comparación con otros en los titulares en las últimas semanas, es parte de una tendencia inquietante que las empresas del Reino Unido ya no pueden permitirse ignorar. Adidas reveló que la violación se originó en un proveedor de servicio al cliente de terceros, un recordatorio de que el riesgo de la cadena de suministro sigue siendo un punto débil crítico para las empresas de todos los tamaños. Este incidente sigue a los principales ataques cibernéticos contra Marks & Spencer, Co-op y Harrods, que han tenido importantes consecuencias operativas y financieras. En el caso de M&S, se espera que el ataque cibernético le cueste al negocio un estimado de £ 300 millones, aproximadamente un tercio de sus ganancias anuales. ¿Qué hace que estos ataques sean diferentes? A diferencia de los incidentes tradicionales de ransomware que tienen como objetivo encriptar y extorsionar, muchas de las infracciones recientes, como la que afecta las M&S, tienen sistemas comerciales centrales comprometidos, lo que lleva a un tiempo de inactividad significativo, robo de datos e interrupción operativa. Esto señala una tendencia creciente en la «doble extorsión» e infiltración de la cadena de suministro, donde los atacantes apuntan a robar datos y sistemas paralizados. El hecho de que Adidas se violara a través de un proveedor de terceros también destaca una verdad dolorosa para las empresas: su seguridad es tan fuerte como su socio más débil. ¿Qué deben tomar las empresas de esto? Aquí en Neuways, ayudamos a las organizaciones a proteger contra exactamente este tipo de riesgos. Estos incidentes recientes ilustran varias lecciones cruciales: 1. El riesgo cibernético ya no está contenido en IT Un ataque cibernético hoy es un evento de nivel comercial, no solo un problema técnico. Cuando M&S estima £ 300 millones en daños, eso habla de las ventas perdidas, la confianza del cliente, el riesgo de cumplimiento y el caos de la cadena de suministro. 2. Los riesgos de terceros están aumentando la violación de Adidas subraya la necesidad de examinar y monitorear a todos los proveedores de terceros, especialmente aquellos que manejan datos de clientes o operaciones críticas de negocios. 3. Estas tácticas son a menudo el preludio de violaciones más grandes. 4. El escrutinio regulatorio está aumentando con GDPR y evolucionando las regulaciones de protección de datos globales, las compañías que no evitan o informan que las infracciones enfrentan adecuadamente las multas y el daño de reputación. Adidas ahora se está involucrando con las autoridades de protección de la ley y la protección de datos, según lo exige la ley. 5. La seguridad reactiva ya no es suficiente una vez que se hace el daño, es demasiado tarde. Las empresas deben adoptar un enfoque proactivo y continuo para la seguridad cibernética, que incluye pruebas de penetración, planificación de respuesta a incidentes y monitoreo de seguridad. Toma de Neuways: la resiliencia cibernética debe ser un problema de la sala de juntas de los minoristas globales hasta las PYME regionales, las amenazas cibernéticas no son selectivas: explotarán cualquier debilidad, ya sea interna o a través de un proveedor. La lección de Adidas, M&S y Co-op no se trata solo de mejores firewalls o software antivirus. Se trata de construir resiliencia cibernética en cada capa de su organización, desde capacitación del personal hasta contratos de proveedores, responsabilidad ejecutiva.