Casi la mitad de empresas españolas necesitan profesionales en ciberseguridad, pero hay escasez de talento
Las organizaciones españolas tienen ante sí un gran problema en ciberseguridad, ante la falta de profesionales en el sector y la sobrecarga de equipos.
Las empresas aún no están preparadas para los nuevos riesgos asociados a la seguridad en las cadenas de suministro y una de las causas es la falta de personal cualificado.
Según el último informe global de Kaspersky, Supply chain reaction: securing the global digital ecosystem in an age if interdependence, del conjunto de 17 países encuestados, destaca España como uno en los que más escasez de profesionales en seguridad IT existe.
Concretamente, casi la mitad (42%) de las organizaciones encuestadas consideran difícil mitigar los riesgos asociados a la cadena de suministro y a las relaciones de confianza con otros actores, debido a la falta de priorización en materias de seguridad y a la escasez de profesionales cualificados.
"Cuando los equipos de seguridad están sobrecargados, carecen de personal suficiente y se ven obligados a priorizar tareas urgentes frente a objetivos de resiliencia a largo plazo, las organizaciones quedan expuestas a amenazas que pueden propagarse de forma silenciosa a través de su ecosistema de proveedores", explica Sergey Soldatov, responsable del Centro de Operaciones de Seguridad en Kaspersky.
Con ello, España se sitúa como uno de los países donde más se echa en falta esta ausencia de profesionales, junto a otros alrededor del planeta, como Vietnam, Emiratos Árabes Unidos y México.
Todo ello en un escenario en el que los ataques a la cadena de suministro se posicionan ya como el principal peligro identificado por las organizaciones, incluso por delante de campañas de phishing o de ingeniería social.
Para la mayoría de organizaciones, la ciberseguridad es secundaria
A pesar de que la ciberseguridad es clave ante ataques que puedan afectar a la cadena de suministro y, con ello, a terceros, lo cierto es que el 39% de encuestados asegura que sus contratos con proveedores no incluyen obligaciones claras en esta materia.
Una situación especialmente grave si se mira a países como España, Vietnam, Turquía y México, a lo que se suma un 32% que afirma que el personal no especializado en seguridad IT no comprende plenamente los riesgos.
Y, curiosamente, tampoco grandes potencias se salvan: en todo el mundo, el 85% considera que necesita mejorar las medidas de protección frente a los riesgos en la cadena de suministro, mientras que apenas el 15% cree que sus controles actuales son eficaces.
Aquí cabe destacar que el porcentaje de confianza baja en países vitales para la seguridad global, como Alemania (6%), Turquía (7%), Italia (8%), Brasil (8%), Rusia (8%) o Arabia Saudí (9%).
"Para romper este ciclo, es necesario adoptar estrategias de mitigación más unificadas y coherentes, desde evaluaciones estandarizadas de proveedores hasta una mayor concienciación entre equipos", añade Soldatov.
A pesar de esta premisa por cumplir, la falta de profesionales se traduce en la ausencia de planes claros en ciberseguridad, incluso en muchos casos sin tener herramientas básicas de seguridad que suelen usar todos los usuarios.
Apenas un 38% usa la autenticación en 2 factores
En lo general, ninguna de las prácticas básicas en seguridad para empresas supera una adopción del 40%; incluso en el caso de la más básica, como es la autenticación en 2 factores, apenas es utilizada por un 38% de los encuestados.
Como consecuencia, esto puede llevar al compromiso de los datos de la propia organización y de terceros, mediante campañas de phishing que consigan suplantar la identidad de algún empleado o cargo directivo.
Aunque, según los ataques experimentados por las organizaciones encuestadas durante los últimos 12 meses, el 31% se ha tenido que enfrentar a ataques en la cadena de suministro, seguido de cerca por los ataques impulsados por IA (30%) y campañas de phishing (28%).
Adicionalmente, apenas un 35% realiza revisiones periódicas de la seguridad de sus proveedores, lo que se conocen como pruebas de penetración, algo vital para descubrir vulnerabilidad en las organizaciones.
En definitiva, una tarea pendiente que puede comprometer todo el sistema si no se toman las medidas adecuadas, comenzando por la contratación de profesionales cualificados.
"La seguridad de la cadena de suministro debe convertirse en una responsabilidad compartida y exigible en toda la red empresarial", concluye el experto de Kaspersky.