Los profesionales de tecnología confían poco en la seguridad de la cadena de suministro

Según un informe sobre gobernanza en TI de ISACA, una asociación de profesionales de tecnología dedicada al apoyo y patrocinio de diversos sistemas y certificaciones para llevar a cabo actividades de control y auditoría en sistemas tecnológicos, los profesionales de tecnología no tienen mucha confianza en que la cadena de suministro sea segura. De hecho, según los datos recogidos en él, solo el 44% de los profesionales de TI tienen mucha confianza en la de su propia empresa.

Además, un 30% aseguran que los responsables de sus organizaciones no tienen una comprensión suficiente de los riesgos que acechan a las cadenas de suministros. Y no parece que tengan tampoco mucha confianza en que la situación mejore en el futuro. Porque un 53% de los encuestados creen que los problemas de la cadena de suministro seguirán igual, e incluso empeorarán, en los próximos seis meses.

El informe se ha elaborado a partir de una encuesta entre 1.300 profesionales de TI con información sobre las cadenas de suministros, de los que un 25% apuntaron que su organización sufrió un ataque de cadena de suministro en los últimos 12 meses. Y refleja sus principales preocupaciones sobre sus riesgos. Así, el 73% apunta como su principal preocupación con respecto a la cadena de suministro al ransomware. Otro 66%, a una información pobre sobre las prácticas de seguridad de los proveedores, y un 65% a las vulnerabilidades de software de seguridad.

Otro 61% está preocupado por los riesgos que puede entrañar para la cadena de suministro el almacenamiento de datos de terceros, y un 55%, por los proveedores de servicio externos con acceso físico o virtual a sistemas de información, código fuente de software, o direcciones IP.

En cuanto a la toma de medidas, un 84% de los encuestados aseguran que la cadena de suministros de su organización necesita una gobernanza mejor que la actual. Y casi el 20% apuntan a que el proceso de asesoramiento de sus proveedores no incluye asesoramiento sobre ciberseguridad o privacidad. Además, un 39% de los que han contestado a la encuesta señalan que no han desarrollado planes de respuesta frente a incidentes con los proveedores en caso de que haya un incidente de ciberseguridad.

Un 60%, además, no han coordinado ni practicado planes de respuesta a incidentes basados en la cadena de suministros con sus proveedores. Y otro 49% contestó que sus organizaciones no realizan escaneados en busca de vulnerabilidades ni test de penetración de la cadena de suministro.

Según John Pironti, miembro del Grupo de trabajo de tendencias emergentes de ISACA, «la gestión de los riesgos de seguridad de la cadena de suministro requiere un enfoque que se ocupe de múltiples puntos, lo que conlleva asesoramientos sobre ciberseguridad y privacidad de manera periódica, así como el desarrollo y coordinación de planes de respuesta a incidentes. En ambos casos, en colaboración con los proveedores. El desarrollo de relaciones fuertes con los proveedores de tu organización, así como el establecimiento de canales de comunicación activos es una parte clave para asegurar que las revisiones, la compartición de información y la mitigación de problemas se dan de manera suave y eficaz«.