La ciberseguridad ha adquirido una inmensa importancia. Un estudio de CyberVadis muestra que, no en vano, la crisis de Corona y la consiguiente transformación del trabajo hacia una mayor digitalización han puesto de manifiesto las vulnerabilidades en materia de ciberseguridad de las empresas y sus cadenas de suministro.
La pandemia de Covid cambió el mundo laboral de forma definitiva el año pasado. A corto plazo, las empresas tuvieron que enviar a sus empleados a la oficina en casa y crear rápidamente nuevas infraestructuras en términos de hardware y software, al tiempo que aumentaban las capacidades digitales. Una reciente encuesta de Gartner entre directores financieros reveló que el 74% de las empresas tiene la intención de realizar una transición permanente de algunos empleados al trabajo remoto después de la COVID-19.
La urgencia de mantener la colaboración digital y las operaciones empresariales, y por tanto la continuidad del negocio, con las nuevas y mejoradas herramientas no sólo supuso un reto para los directores de TI. Los equipos de compras, en particular, se enfrentaron al problema de adquirir las crecientes necesidades informáticas internas lo antes posible y, al mismo tiempo, encontrar nuevos proveedores de producción que pudieran suplir las carencias. Un dilema, porque en tiempos de necesidad a menudo no hay tiempo para hacer revisiones detalladas de los proveedores.
Riesgo a distancia
El trabajo a distancia presenta un reto de seguridad de la información único: la necesidad de establecer conexiones remotas seguras, gestionar el uso de dispositivos personales y concienciar a los usuarios para evitar nuevas oleadas de ciberataques. Por tanto, las empresas que actualmente invierten en medidas de seguridad internas para proteger sus sistemas y, por tanto, su reputación y la continuidad de su negocio, no deberían ignorar los riesgos que plantean sus proveedores externos.
El último estudio de CyberVadis, basado en una evaluación de 680 empresas de 56 países de todos los tamaños, muestra que un gran número de empresas no están preparadas para la nueva normalidad del trabajo a distancia. Sólo el 42% de las empresas ha implementado métodos de autenticación fuerte para el acceso remoto y sólo el 28% de las empresas tiene un proceso de autorización para conceder a los dispositivos personales el acceso a los sistemas de información. Esto demuestra que existe un riesgo importante de acceder a los datos y sistemas de información de la empresa a través de dispositivos no seguros. El uso de dispositivos personales/privados para fines laborales aumentó considerablemente, sobre todo al principio de la pandemia, y sólo el 26% de las empresas permitía que sólo los dispositivos propiedad de la empresa accedieran a la red interna. Esto significa que el 74 por ciento de las empresas restantes aún no tienen controles para garantizar que los dispositivos no autorizados no puedan acceder a la red de la empresa.
La falta de concienciación aumenta los riesgos
No sólo las vulnerabilidades tecnológicas ofrecen un potencial para las violaciones de datos y los ataques de hacking, sino también el factor humano. La concienciación del personal sobre los riesgos y los conocimientos para afrontarlos es un pilar importante en el concepto de ciberseguridad. Sin embargo, el estudio de CyberVadis demostró que el 43% de las empresas sólo realiza campañas periódicas de concienciación sobre la seguridad de la información.
Como resultado, los empleados se enfrentan a amenazas, como el phishing, la mayoría de las veces sin apoyo. Asimismo, sólo el 15% de las organizaciones comprueba la comprensión de los usuarios sobre los riesgos de seguridad de la información y las mejores prácticas, por ejemplo, mediante el uso de un cuestionario de seguridad o campañas de mini-auditoría del SGSI.
Se requiere una gestión holística de los riesgos
Los cambios repentinos en las prácticas de trabajo han creado un entorno que los ciberatacantes están muy dispuestos a aprovechar. Sólo de marzo a mayo de 2020, hubo un aumento del 6.000% en el spam y el phishing relacionados con Covid-19, según IBM X-Force.
Los resultados del estudio de CyberVadis muestran que muchas organizaciones todavía tienen que ponerse al día, y muchas prácticas de ciberseguridad que se consideran esenciales para la nueva normalidad aún no se han implementado. Las empresas necesitan urgentemente empezar a revisar sus sistemas de gestión de la ciberseguridad ahora e invertir recursos en actualizaciones tecnológicas y en la concienciación de los empleados para minimizar los riesgos.
Acerca del autor: Volker Kratz es ejecutivo de cuentas para Europa en CyberVadis y experto en gestión de riesgos de terceros en las cadenas de suministro globales. Antes de unirse a CyberVadis, Volker trabajó como Country Manager y Director de Negocios para proveedores de SaaS, especialmente en el sector minorista en DACH, así como a nivel internacional.