/ jueves 21 de octubre de 2021

Las empresas y el “riesgo de la enésima parte”  

Las empresas y el “riesgo de la enésima parte”

Por Jaime Berditchevsky, director general para México en Kaspersky

Los ciberataques en los que empresas globales se ven afectadas a través de sus contratistas se han convertido en una tendencia clara. En 2020 se presentó uno de los casos más sonados, cuando una importante cadena hotelera tuvo que aceptar que los nombres, fechas de nacimiento y números de teléfonos de 5.2 millones de clientes quedaron expuestos, como consecuencia del hackeo de dos empleados de uno de sus proveedores, permitiendo dicha fuga de información.

Son muchas las empresas que contratan a terceros para administrar o gestionar diversos servicios, mismos que involucran bases de datos que deben ser debidamente resguardadas; sin embargo, existen compañías que no aplican controles suficientes para evitar ataques que puedan derivar en una fuga de información, incidentes que siempre tienen un serio impacto financiero y de reputación.

Recientemente, Kaspersky presentó el Reporte de Seguridad TI: “Gestionando la tendencia de la creciente complejidad de las TI”, que revela la gravedad de los incidentes de ciberseguridad que afectan a las empresas a través de los proveedores de servicios. En América Latina, el impacto promedio de un evento de este tipo para grandes empresas puede ser de US$2 millones de dólares y de US$110 mil dólares para las PyMEs, convirtiendo a este tipo de incidentes en uno de los más costosos que pueden enfrentar las organizaciones.

Según la encuesta, casi un tercio (28%) de las grandes organizaciones en América Latina sufrió ataques relacionados con datos compartidos con proveedores. Esta cifra no ha cambiado significativamente desde el informe de 2020 (29%). Existen dos razones detrás de esto: la primera es que las inversiones realizadas previamente en medidas de prevención y mitigación funcionaron bien para las empresas de la región.

La segunda razón es que algunas compañías fueron menos propensas a informar las violaciones de datos este año, y el 37% se las arregló para evitarlo, en comparación con solo el 21% en 2020. Las empresas económicamente vulnerables pueden ser reacias a dedicar tiempo y gastos para una investigación criminal, lo que las expone a sufrir daños a su reputación si una infracción se hace de conocimiento público. Sin embargo, no informar adecuadamente al público sobre una brecha de seguridad de datos en el momento oportuno puede hacer que las consecuencias financieras sean más graves.

Los incidentes que involucran fugas de datos de terceros ocurren todo el tiempo y eso hace evidente la urgencia de que las organizaciones sean conscientes de que, mientras más amplia sea la red de contratistas que tengan, existen más probabilidades de que sufran una fuga de información.

Para evitar este tipo de incidentes recomendamos a las empresas: actualizar regularmente su lista de socios y proveedores, así como los datos a los que pueden acceder. Asegurarse de que sólo tengan acceso a los recursos que realmente necesitan. Proporcionarles los requisitos que deben cumplir, incluidas las prácticas de seguridad. En aquellos casos en que la información que se comparta sea especialmente sensible o delicada, lo mejor será realizar una auditoría de cumplimiento al proveedor. Consideren productos de ciberseguridad con capacidades de respuesta y detección de amenazas.

Las fugas de datos de terceros también son conocidas como “el riesgo de la enésima parte”, pues una infracción puede ocurrirle al proveedor, o al proveedor del proveedor, pero al final del día, la única responsable de resguardar las bases de datos de clientes y empleados es la empresa dueña de dicha información.

Las empresas y el “riesgo de la enésima parte”

Por Jaime Berditchevsky, director general para México en Kaspersky

Los ciberataques en los que empresas globales se ven afectadas a través de sus contratistas se han convertido en una tendencia clara. En 2020 se presentó uno de los casos más sonados, cuando una importante cadena hotelera tuvo que aceptar que los nombres, fechas de nacimiento y números de teléfonos de 5.2 millones de clientes quedaron expuestos, como consecuencia del hackeo de dos empleados de uno de sus proveedores, permitiendo dicha fuga de información.

Son muchas las empresas que contratan a terceros para administrar o gestionar diversos servicios, mismos que involucran bases de datos que deben ser debidamente resguardadas; sin embargo, existen compañías que no aplican controles suficientes para evitar ataques que puedan derivar en una fuga de información, incidentes que siempre tienen un serio impacto financiero y de reputación.

Recientemente, Kaspersky presentó el Reporte de Seguridad TI: “Gestionando la tendencia de la creciente complejidad de las TI”, que revela la gravedad de los incidentes de ciberseguridad que afectan a las empresas a través de los proveedores de servicios. En América Latina, el impacto promedio de un evento de este tipo para grandes empresas puede ser de US$2 millones de dólares y de US$110 mil dólares para las PyMEs, convirtiendo a este tipo de incidentes en uno de los más costosos que pueden enfrentar las organizaciones.

Según la encuesta, casi un tercio (28%) de las grandes organizaciones en América Latina sufrió ataques relacionados con datos compartidos con proveedores. Esta cifra no ha cambiado significativamente desde el informe de 2020 (29%). Existen dos razones detrás de esto: la primera es que las inversiones realizadas previamente en medidas de prevención y mitigación funcionaron bien para las empresas de la región.

La segunda razón es que algunas compañías fueron menos propensas a informar las violaciones de datos este año, y el 37% se las arregló para evitarlo, en comparación con solo el 21% en 2020. Las empresas económicamente vulnerables pueden ser reacias a dedicar tiempo y gastos para una investigación criminal, lo que las expone a sufrir daños a su reputación si una infracción se hace de conocimiento público. Sin embargo, no informar adecuadamente al público sobre una brecha de seguridad de datos en el momento oportuno puede hacer que las consecuencias financieras sean más graves.

Los incidentes que involucran fugas de datos de terceros ocurren todo el tiempo y eso hace evidente la urgencia de que las organizaciones sean conscientes de que, mientras más amplia sea la red de contratistas que tengan, existen más probabilidades de que sufran una fuga de información.

Para evitar este tipo de incidentes recomendamos a las empresas: actualizar regularmente su lista de socios y proveedores, así como los datos a los que pueden acceder. Asegurarse de que sólo tengan acceso a los recursos que realmente necesitan. Proporcionarles los requisitos que deben cumplir, incluidas las prácticas de seguridad. En aquellos casos en que la información que se comparta sea especialmente sensible o delicada, lo mejor será realizar una auditoría de cumplimiento al proveedor. Consideren productos de ciberseguridad con capacidades de respuesta y detección de amenazas.

Las fugas de datos de terceros también son conocidas como “el riesgo de la enésima parte”, pues una infracción puede ocurrirle al proveedor, o al proveedor del proveedor, pero al final del día, la única responsable de resguardar las bases de datos de clientes y empleados es la empresa dueña de dicha información.