De las 2.000 empresas más grandes del mundo, 1.980 tienen una conexión directa con un proveedor de tecnología que ha sufrido recientemente un incidente de ciberseguridad o una violación de datos, lo que pone de relieve los crecientes niveles de riesgo que suponen para la economía mundial los ataques a la cadena de suministro por parte de múltiples partes. En un estudio publicado con motivo de la jornada inaugural de la conferencia anual de seguridad Black Hat, SecurityScorecard y el Cyentia Institute afirmaron haber identificado que el 99% de las organizaciones incluidas en la lista Global 2000 de Forbes (que incluye a muchas multinacionales del Reino Unido como AstraZeneca, BP, Diageo, HSBC y Vodafone, por nombrar algunas) estaban expuestas a ese riesgo. Las pérdidas derivadas de las violaciones que afectan a las Global 2000 ya ascienden a miles de millones de dólares estadounidenses, posiblemente hasta 80.000 millones de dólares en los últimos 15 meses, y el estudio conjunto descubrió que el 20% de las Global 2000 utilizaban 1.000 o más productos de TI, lo que significa que se enfrentan al mismo número de posibles puntos de entrada. Además, la importante interdependencia que existe entre esta red de organizaciones concentra este riesgo, afirmó Wade Baker, socio y cofundador de Cyentia. “Si bien las empresas del Global 2000 cuentan con 51,7 billones de dólares en ingresos, su interconexión las expone a graves riesgos cibernéticos, con un 99 % directamente relacionado con proveedores afectados e incidentes que pueden ascender a decenas de miles de millones”, afirmó. Ryan Sherstobitoff, vicepresidente sénior de investigación e inteligencia sobre amenazas en SecurityScorecard, agregó: “El mundo apenas está comenzando a comprender el potencial de caos que causa el riesgo de concentración. “Entender y gestionar su cadena de suministro es fundamental para proteger la continuidad del negocio. No se trata solo de prevenir interrupciones; se trata de salvaguardar la base misma de nuestra economía interconectada”. El incidente de CrowdStrike, una advertencia En las últimas semanas, SecurityScorecard se encuentra entre varias organizaciones que se han mostrado cada vez más inquietas por la posibilidad de una importante disrupción mundial derivada de problemas de TI, ya sea originados por incidentes cibernéticos, como las infracciones de 2023 orquestadas a través del producto MOVEit de Progress Software, o por otros medios, como el incidente de CrowdStrike de julio de 2024, cuyas consecuencias siguen resonando en la industria. Hablando a raíz de la interrupción de CrowdStrike, el director ejecutivo de SecurityScorecard, Alex Yampolskiy, dijo que la concentración de servicios de misión crítica entre unos pocos grandes proveedores había hecho que los sistemas de TI globales fueran tan frágiles como una «casa precaria encaramada en el borde de un acantilado» y advirtió que es casi seguro que se avecinan más CrowdStrikes. Conozca su cadena de suministro SecurityScorecard reiteró la orientación general de que los principios de conozca su cadena de suministro (KYSC) ahora deben adoptarse urgentemente de manera generalizada como un elemento crítico de una estrategia de resiliencia empresarial. Comprender dónde se encuentran las dependencias dentro de una organización es fundamental para que los equipos de TI y seguridad estén capacitados para responder de manera eficaz cuando algo sale mal. Hay varios pasos clave que deberían formar el núcleo de dicha estrategia: Monitoreo continuo de la superficie de ataque externa, incluido el escaneo automatizado, para identificar y mitigar el riesgo informático y cibernético en los entornos de proveedores, agencias y socios; Identificar puntos únicos de falla mediante el mapeo de procesos y tecnologías comerciales críticos para encontrar posibles puntos críticos y colaborar con los proveedores relevantes para crear una lista de vigilancia para una mejor atención; Mantenerse al tanto de las implementaciones de TI de sus propios proveedores para identificar y resolver los riesgos ocultos de sus cadenas de suministro.