La escasez de talento en ciberseguridad ya no es un reto a futuro: es un problema urgente para las empresas. Los ataques a la cadena de suministro y a las relaciones de confianza afectaron a una de cada tres organizaciones en el último año, según un estudio global de Kaspersky.
En este contexto, la falta de profesionales especializados, sumada a la presión de gestionar múltiples prioridades, está limitando la capacidad de las organizaciones para responder a estos riesgos: el 42% de los encuestados reconoce que estas brechas están frenando sus esfuerzos de protección.
Uno de los principales obstáculos para reducir los riesgos asociados a la cadena de suministro y las relaciones de confianza es la falta de personal calificado.
Esta escasez limita la capacidad de las organizaciones para acceder de manera constante y monitorear posibles vulnerabilidades en terceros dentro de sus ecosistemas.
La necesidad de profesionales en ciberseguridad capaces de enfrentar estos riesgos es especialmente alta en algunos países de América Latina, como México, y en Vietnam, Emiratos Árabes Unidos y España.
Entre otros obstáculos principales, los encuestados señalaron la necesidad de atender múltiples prioridades de ciberseguridad al mismo tiempo. Esto refleja que los equipos de seguridad están sobrecargados con demasiadas tareas a la vez, lo que puede dejar sin atender las amenazas relacionadas con la cadena de suministro.
Más allá de la falta de recursos, las empresas también enfrentan problemas estructurales. El 39% de los encuestados afirma que sus contratos no incluyen obligaciones claras de seguridad informática para los contratistas, una brecha especialmente frecuente en países como Vietnam, Turquía, España y México.
A esto se suma que el 32% señala que el personal fuera del área de seguridad no comprende plenamente estos riesgos, lo que dificulta su gestión dentro de las organizaciones.
A nivel global, el 85% de las empresas reconoce que necesita reforzar su protección frente a los riesgos en la cadena de suministro y en sus relaciones con terceros, mientras que solo el 15% considera que sus medidas actuales son realmente efectivas.
Este nivel de confianza es aún menor en países como Alemania (6%), Turquía (7%), Italia (8%), Brasil (8%), Rusia (8%) y Arabia Saudita (9%).
Al mismo tiempo, las acciones que están tomando las empresas para protegerse siguen siendo limitadas y poco consistentes: ninguna medida supera el 40% de adopción, y la más común, la autenticación en dos pasos, solo es utilizada por el 38% de los encuestados.
Además, solo el 35% de las organizaciones revisa de forma periódica la seguridad de sus proveedores.
Esto significa que cerca de dos tercios de las empresas no tienen visibilidad constante sobre los riesgos que pueden venir de sus socios, lo que las deja expuestas a nuevas vulnerabilidades.
Sin embargo, las empresas que ya han sufrido este tipo de ataques tienden a fortalecer sus prácticas.
El 56% de las que han sido afectadas por incidentes en la cadena de suministro solicita pruebas de seguridad más rigurosas, mientras que quienes han enfrentado brechas en relaciones de confianza priorizan la verificación de estándares (56%) y el cumplimiento de políticas de seguridad por parte de sus contratistas (53%).
Claudio Martinelli, director general para Américas en Kaspersky, señala que “desde una perspectiva regional, el problema no es solo la escasez de talento, sino el impacto directo que esto tiene en la capacidad de las empresas para gestionar riesgos de forma integral”.
“Cuando los equipos están sobrecargados, la seguridad deja de ser preventiva y se vuelve reactiva, abriendo la puerta a amenazas que pueden ingresar a través de proveedores y escalar sin ser detectadas”, continuó.
“En América Latina, donde los ecosistemas empresariales son cada vez más interconectados, una debilidad en un tercero puede convertirse rápidamente en un riesgo operativo, financiero y reputacional para toda la organización. Por eso, la seguridad de la cadena de suministro debe abordarse como una responsabilidad compartida, con estándares claros y consistentes en toda la red”, agregó.
“Además, los ciberdelincuentes saben que la escasez de talento es aún más marcada en las organizaciones más pequeñas de la cadena de suministro, lo que las convierte en objetivos prioritarios”, concluyó.
Recomendaciones para mitigar estos riesgos
- Adoptar servicios de seguridad gestionada. Para las organizaciones que carecen de recursos dedicados a ciberseguridad, la mejor opción es recurrir a la externalización. Utilizar servicios como Kaspersky Managed Detection and Response (MDR) y/o Incident Response, que cubren todo el ciclo de gestión de incidentes, desde la identificación de amenazas hasta la protección continua y la remediación.
- Invertir en formación adicional en ciberseguridad. Reforzar los conocimientos de ciberseguridad de los colaboradores mediante programas de capacitación de Kaspersky, ya sea en modalidad autodidacta o en vivo, con un enfoque práctico. Estos programas ayudan a los profesionales de seguridad a desarrollar sus habilidades técnicas y a proteger a las empresas frente a ataques sofisticados.
- Evaluar exhaustivamente a los proveedores antes de establecer un acuerdo. Revisar sus políticas de ciberseguridad, información sobre incidentes previos y el cumplimiento de estándares de seguridad de la industria. En el caso de software y servicios en la nube, también se recomienda analizar datos de vulnerabilidades y resultados de pruebas de penetración.
- Implementar requisitos de seguridad en los contratos. Los acuerdos con proveedores deben incluir disposiciones específicas de seguridad de la información, como auditorías periódicas, cumplimiento de las políticas de seguridad de la organización y protocolos de notificación de incidentes.
- Colaborar con los proveedores en temas de seguridad. Reforzar la protección en ambas partes y convertirla en una prioridad compartida.
