De las 2.000 empresas más grandes del mundo, 1.980 tienen una conexión directa con un proveedor de tecnología que ha experimentado un reciente incidente de seguridad cibernética o una violación de datos, lo que pone de relieve los crecientes niveles de riesgo para la economía global que presentan los ataques de múltiples partes a la cadena de suministro.
En una investigación publicada con motivo del día inaugural de la conferencia anual de seguridad Black Hat, SecurityScorecard y el Instituto Cyentia dijeron que habían identificado que el 99% de las organizaciones que figuran en la lista Global 2000 de Forbes, que incluye muchas multinacionales del Reino Unido como AstraZeneca, BP, Diageo, HSBC y Vodafone, por nombrar sólo algunos, estuvieron expuestos a ese riesgo.
Las pérdidas derivadas de infracciones que afectan a Global 2000 ya ascienden a miles de millones de dólares estadounidenses, posiblemente hasta 80.000 millones de dólares en los últimos 15 meses, y el estudio conjunto encontró que el 20% de Global 2000 utilizaba 1.000 o más productos de TI. lo que significa que enfrentan el mismo número de puntos de entrada potenciales.
Sumado a esto, la importante interdependencia que existe entre esta red de organizaciones concentra este riesgo, afirmó Wade Baker, socio y cofundador de Cyentia.
“Si bien Global 2000 cuenta con 51,7 billones de dólares en ingresos, su interconexión los expone a graves riesgos cibernéticos: el 99% está directamente relacionado con proveedores vulnerados e incidentes que pueden sumar decenas de miles de millones”, afirmó.
Ryan Sherstobitoff, vicepresidente senior de investigación de amenazas e inteligencia de SecurityScorecard, añadió: “El mundo apenas está comenzando a comprender el potencial de caos causado por el riesgo de concentración.
“Comprender y gestionar su cadena de suministro es fundamental para proteger la continuidad del negocio. No se trata sólo de prevenir interrupciones; se trata de salvaguardar los cimientos mismos de nuestra economía interconectada”.
Incidente de CrowdStrike una advertencia
En las últimas semanas, SecurityScorecard se encuentra entre una serie de organizaciones que se han mostrado cada vez más agitadas por la posibilidad de que se produzcan importantes interrupciones a nivel mundial derivadas de problemas de TI, ya sea que se originen a través de incidentes cibernéticos, como las infracciones de 2023 orquestadas a través del producto MOVEit de Progress Software, o a través de otros medios. como el incidente CrowdStrike de julio de 2024, cuyas consecuencias continúan resonando en toda la industria.
Hablando a raíz de la interrupción de CrowdStrike, el director ejecutivo de SecurityScorecard, Alex Yampolskiy, dijo que la concentración de servicios de misión crítica entre unos pocos proveedores grandes había hecho que los sistemas de TI globales fueran tan frágiles como una “casa precaria situada al borde de un acantilado” y advirtió que más CrowdStrikes Es casi seguro que nos espera algo más adelante.
Conozca su cadena de suministro
SecuritySorecard reiteró la orientación general de que los principios de “conozca su cadena de suministro” (KYSC) ahora deben adoptarse urgentemente y de forma generalizada como un elemento crítico de una estrategia de resiliencia empresarial.
Comprender dónde se encuentran las dependencias dentro de una organización es fundamental para que los equipos de seguridad y TI estén capacitados para responder de manera efectiva cuando algo sale mal.
Hay varios pasos clave que deberían formar el núcleo de dicha estrategia:
- Monitoreo continuo de la superficie de ataque externo, incluido el escaneo automatizado, para identificar y mitigar el riesgo cibernético y de TI en entornos de proveedores, agencias y socios;
- Identificar puntos únicos de falla mediante el mapeo de tecnologías y procesos comerciales críticos para encontrar posibles puntos críticos y colaborar con los proveedores relevantes para crear una lista de vigilancia para una mayor atención;
- Manténgase al tanto de las implementaciones de TI de su proveedor para identificar y resolver riesgos ocultos de sus cadenas de suministro.