La edición más reciente del Reporte de Seguridad TI publicado por Kaspersky: “Gestionando la tendencia de la creciente complejidad de las TI”, revela la gravedad de los incidentes de ciberseguridad que afectan a las empresas a través de los proveedores con los que comparten datos. El impacto financiero promedio de un evento de este tipo para una empresa latinoamericana alcanzó US$2 millones de dólares en el caso de grandes compañías y US$110,000 dólares en el caso de las PyMES; esto lo convierte en el tipo de incidente más costoso, a pesar de que ni siquiera alcanzó el grupo de los cinco incidentes principales el año pasado. La clasificación general de pérdidas por diferentes tipos de ataque también ha cambiado significativamente desde 2020.

Los ataques en los que las empresas globales se ven afectadas a través de sus contratistas se han convertido en una tendencia clara. Los datos comerciales generalmente se distribuyen a través de terceros, incluidos los proveedores de servicios, socios, abastecedores y subsidiarias. Como tal, las organizaciones deben considerar no solo los riesgos de ciberseguridad que afectan su infraestructura de TI, sino también aquellos que pueden provenir de fuera de ella.

Según la encuesta, casi un tercio (28%) de las grandes organizaciones en América Latina sufrieron ataques relacionados con datos compartidos con proveedores. Esta cifra no ha cambiado significativamente desde el informe de 2020 (29%). El impacto financiero de ese formato sigue siendo también el mismo que el año pasado (US$2 millones de dólares); sin embargo, en ese entonces ocupaba en el puesto 13 en el ranking de pérdidas promedio por todas las formas de ataque.

Los otros tipos de ataques que demuestran un menor impacto financiero en las empresas de la región fueron los siguientes: ataques a servicios de banca en línea (US$938,000 dólares); infección por malware en dispositivos propiedad de los empleados (US$ 871,000 dólares) y ataques dirigidos (US$788,000 dólares).

Como resultado, el impacto financiero promedio de cualquier ataque también ha disminuido. Mostró una notable disminución del 15% en comparación con los resultados del año pasado (US$ 686,000 en 2021 en comparación con US$1,000,000 en 2020) y cayó incluso por debajo de la cifra de 2017 (US$558,000).

La posible razón detrás de esto es que las inversiones realizadas previamente en medidas de prevención y mitigación funcionaron bien para las empresas de América Latina. Alternativamente, el costo promedio puede verse afectado por el hecho de que las organizaciones fueron menos propensas a informar las violaciones de datos este año, y el 37% se las arregló para evitarlo, en comparación con solo el 21% en 2020. Las empresas financieramente vulnerables pueden ser reacias a dedicar tiempo y gastos para una investigación criminal o arriesgarse a dañar la reputación si una infracción se hace de conocimiento público.

“La gravedad de los ataques de ciberseguridad pone de relieve la urgencia de que, al evaluar las necesidades de ciberseguridad para sus negocios, las organizaciones tomen en cuenta el riesgo de una infracción que involucre datos que son compartidos con los proveedores. La pandemia ha cambiado el panorama de las amenazas y las organizaciones deben estar preparadas para adaptarse. Las empresas deben calificar a sus proveedores en función del tipo de trabajo que realizan y la complejidad del acceso que reciben (ya sea que se ocupen de datos e infraestructura sensibles o no), y aplicar los requisitos de seguridad en consecuencia”, comenta Evgeniya Naumova, vicepresidenta ejecutiva de negocios corporativos en Kaspersky.

“Las empresas deben asegurarse de compartir datos solo con terceros que sean de fiar y extender sus requisitos de seguridad existentes a los proveedores. En el caso de transferencias de información o datos sensibles, significa que toda la documentación y certificaciones (como SOC 2) deben solicitarse a los proveedores para confirmar que pueden trabajar a ese nivel. En casos muy delicados, también recomendamos realizar una auditoría de cumplimiento preliminar al proveedor antes de firmar cualquier contrato”, resalta Naumova.

Para minimizar el riesgo de ataques y fugas de datos a las empresas, se debe utilizar una protección para endpoints eficaz con capacidades de respuesta y detección de amenazas. Además, los servicios de protección administrada ayudarán a las organizaciones con la investigación de ataques y la respuesta de expertos. Este nivel esencial de protección para endpoints se incluye en el marco de Kaspersky Optimum Security. Para las organizaciones que cuentan con una función de seguridad de TI madura, el marco de seguridad de Kaspersky Expert también proporciona anti-APT, la inteligencia de amenazas más reciente y capacitación profesional dedicada.