Un reciente estudio señala que más del 60% de los ataques realizados en 2017 contra firmas estadounidenses que cotizan en bolsa se lanzaron a través de los sistemas de IT de proveedores y otros contratistas.
Algunos de los ataques de alto perfil contra grandes compañías, incluyendo Equifax, Netflix, Best Buy y Target, ocurrieron de esta manera.
El ataque de 2014 contra Target, que causó daños estimados de 162 millones de dólares (unos 138 millones de euros). Su proveedor era una pequeña empresa privada de climatización llamada Fazio. Después de que los atacantes se infiltraran en el cortafuegos (firewall) de Fazio y les robaran las credenciales, entraron en el sistema de Target.
Introducir medidas de ciberseguridad en los contratos con terceros. Nuestra investigación señala que muchos profesionales de compras no consideran que las capacidades de ciberseguridad de los proveedores sean un factor importante en la selección o el desarrollo de los proveedores de primer nivel. Esto debe cambiar. Los departamentos de compras y de IT deben trabajar juntos para que suceda. Los proveedores clave deben de cumplir con los estándares de desempeño y capacitación que deben evaluarse periódicamente para asegurarse de que los están cumpliendo. Las empresas pueden diseñar sus propios estándares o usar otros ya existentes como los del Reglamento General de Protección de Datos (RGPD) o el del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés).
