De las 100 organizaciones que figuran en la lista de las 100 empresas más capitalizadas de Gran Bretaña de la Bolsa de Valores del Financial Times (FTSE), 97 estuvieron expuestas a un incidente de violación de datos de la cadena de suministro de terceros entre marzo de 2023 y marzo de 2024, según datos publicados por SecurityScorecard. de la feria anual Infosec Europa.
Los hallazgos, que se producen mientras los ataques a la cadena de suministro continúan dominando los debates sobre seguridad cibernética, particularmente en lo que respecta a la seguridad de la infraestructura nacional crítica (CNI), revelan la magnitud del problema que enfrentan todas las organizaciones, no solo las más importantes.
SecurityScorecard dijo que el FTSE 100 había hecho bien en proteger sus propias puertas de entrada (sólo el 12% de las organizaciones incluidas en la lista informaron una violación el año pasado), con el resultado de que los adversarios deben buscar otras formas de entrar, lo que generalmente significa a través de los sistemas de terceros. -Partes proveedores de tecnología u otros servicios.
La firma dijo que quería resaltar que la fortaleza de la seguridad cibernética de una empresa está directamente relacionada con la fortaleza incluso de su proveedor más pequeño, advirtiendo que usar tales empresas como un caballo de Troya involuntario era mucho más fácil que comprometer directamente a una organización conocida con múltiples capas de seguridad. controles y un centro de operaciones de seguridad (SOC) completo.
“La gestión de riesgos de terceros es un componente clave de cualquier programa sólido de seguridad cibernética, y las empresas representadas en este informe se beneficiarían si la convirtieran en una prioridad”, afirmó Will Gray, director de SecurityScorecard para el norte de Europa.
“Los sectores y organizaciones en el Reino Unido, y en Europa en su conjunto, deben hacer más ahora si quieren estar preparados para la implementación de DORA. [Digital Operational Resilience Act] para enero de 2025, así como la Directiva NIS2.
“El aumento de las filtraciones de datos en toda Europa demuestra que las empresas del Reino Unido todavía necesitan gestionar los riesgos de terceros. [TPRM] un componente integral no sólo de su programa de seguridad sino también de su proceso de selección de proveedores”, añadió Gray.
imagen mixta
Más allá de su posible exposición a ataques a la cadena de suministro, las empresas con mejor desempeño del Reino Unido tendieron a tener posturas de seguridad cibernética mucho más sólidas que sus contrapartes europeas, con un 76% con puntajes en los tres grados más altos (A a C) en la métrica de calificaciones patentada de SecurityScorecard, en comparación con 60% en Francia, 59% en Italia y 66% en Alemania. Además, el 85% de las organizaciones del Reino Unido con la calificación A más alta no habían sido violadas el año pasado.
Afortunadamente para quienes están preocupados por las amenazas a CNI, el sector más seguro en el Reino Unido fue el de energía y materiales básicos (minería y materias primas), donde solo el 12% y el 16% experimentaron una vulneración de terceros el año pasado, y ninguna organización recibió una calificación C. grado o inferior. La industria de servicios financieros también tuvo un buen desempeño: sólo el 5% recibió una calificación C o inferior. Sin embargo, las organizaciones que trabajan en el sector de las comunicaciones tienen mucho trabajo por hacer: el 70% de ellas recibió una calificación C o inferior.
Las de mejor desempeño son también las empresas más ricas con las mayores capitalizaciones de mercado y que pueden permitirse el lujo de hacer bien la seguridad. De las 25 organizaciones del Reino Unido con un valor de más de 29.000 millones de dólares, sólo el 12% recibió una calificación C o inferior, mientras que para las otras 75, esta cifra aumentó al 28%.