[14/06/2024] BlackBerry ha publicado los resultados de una encuesta global realizada en abril del 2024 por Coleman Parkes a mil altos responsables de la toma de decisiones de TI y líderes de ciberseguridad sobre la seguridad de la cadena de suministro global de software. Según lo señalado en el comunicado de prensa, el estudio de BlackBerry buscó identificar los procedimientos que las empresas utilizan actualmente para gestionar y reducir el riesgo de violaciones de seguridad de su cadena de suministro de software, estableciendo comparaciones con investigaciones anteriores realizadas en octubre del 2022.
Recuperación después de un ataque e impacto en el negocio
Después de un ataque, el estudio señala que un poco más de la mitad de las empresas (51%) pudieron recuperarse de una brecha en una semana, una ligera caída (53%) con respecto a hace dos años; mientras que casi el 40% tardó un mes, un ligero aumento (37%) con respecto a antes. Un poco menos de tres cuartas partes de los ataques (74%) se produjeron a través de miembros de la cadena de suministro de software de los que las empresas no eran conscientes o no supervisaban antes de la infracción. Esto fue a pesar de insistir en el cifrado de datos (52%), la capacitación en concientización de seguridad para el personal (48%) y la autenticación multifactor (44%).
"La forma en que una empresa supervisa y gestiona la ciberseguridad en su cadena de suministro de software tiene que basarse en algo más que en la confianza", explicó Christine Gadsby, vicepresidenta de seguridad de productos de BlackBerry. "Los líderes de TI deben abordar la falta de visibilidad como una prioridad".
Y ese riesgo tiene un precio real: en pérdidas financieras (64%), pérdida de datos (59%), daño a la reputación (58%) e impacto operativo (55%).
El estudio señala que más de dos tercios de los encuestados (68%) estaban "muy seguros" de que los proveedores pueden identificar y prevenir una vulnerabilidad. Un porcentaje ligeramente menor (63%) estaba "muy seguro" de que los socios de la cadena de suministro tienen prácticas adecuadas de ciberseguridad, regulación y cumplimiento. Esa confianza se deriva de un monitoreo regular.
"Cuando se les preguntó con qué frecuencia inventariaban a sus socios de la cadena de suministro para el cumplimiento de la ciberseguridad, el 41% pidió pruebas cada trimestre. Estas solicitudes de cumplimiento incluyen mostrar una lista de materiales de software (SBOM) o un artefacto de intercambio de vulnerabilidad de explotabilidad (VEX). Las mayores barreras para los inventarios regulares de software son la falta de comprensión técnica (51%), la falta de visibilidad (46%) y la falta de herramientas efectivas (41%)”, comentó la ejecutiva.
Con más del 75% de las cadenas de suministro de software atacadas en los últimos 12 meses, ¿qué pasa con el consumidor/usuario final? Gadsby anotó que el 78% de las empresas están rastreando el impacto, pero solo el 65% está informando a sus clientes. Cuando se les preguntó por qué no, las dos respuestas principales se mostraron preocupadas por el impacto negativo en la reputación corporativa (51%) y la falta de recursos de personal (45%).
"Existe el riesgo de que las empresas tengan miedo de denunciar los ataques por temor a la vergüenza pública y al daño a su reputación corporativa", indicó Gadsby. "Nuestra investigación llega en un momento de mayor interés regulatorio y legislativo para abordar las vulnerabilidades de seguridad de la cadena de suministro de software".
Otras estadísticas destacadas en el informe indican:
- Componentes vulnerables que tienen el mayor impacto para la organización: Sistema operativo: 27%, navegador web: 21%.
- Tiempo previsto para ser notificado en caso de que un proveedor sufra una violación cibernética: En cuatro horas: 34%, dentro de las 24 horas: 46%, en un plazo de 1 a 3 días: 18%.
- Comparabilidad de las políticas de ciberseguridad de los proveedores: Tienen una fuerza comparable: 66%, son más fuertes: 30%.
Franca Cavassa, CTOPerú