Hoy en día las empresas de cualquier tamaño pueden ser objetivo de los ataques de los amigos de lo ajeno digital, pero según se hace eco un informe de Osterman Research encargado por CyCognito, aquellas empresas globales con múltiples subsidiarias son más proclives a ser atacadas.
Además, según el informe, las organizaciones de este tipo cuentan con mayores dificultades para administrar el riesgo que aquellas empresas que no poseen filiales.
El estudio se realizó teniendo en cuenta a 201 organizaciones con al menos 10 subsidiarias y con una plantilla superior a 3.000 empleados o una facturación por encima de los 1.000 millones de dólares anuales. Participaron en ella empleados con funciones de gestión de la seguridad informática, compliance o riesgo.
Pese a que este tipo de empresas se mostraron muy seguras de llevar a cabo una gestión de riesgos subsidiaria eficaz, dos de cada tres encuestados reveló que sus organizaciones habían sufrido un ciberataque en el que la cadena de ataque incluía una filial.
Asimismo, casi la mitad de los encuestados manifestó que no se sorprenderían si una infracción cibernética ocurría mañana.
“Buscábamos comprender las amenazas y los riesgos a los que se enfrentaban las organizaciones no solo con las subsidiarias que acababan de comprar o adquirir, sino, lo que es más importante, con aquellas que habían estado en funcionamiento durante años”, comenta en un comunicado de prensa Michael Sampson, analista senior de Osterman Research.
"Y dado que los desafíos, riesgos y problemas de ciberseguridad están en constante cambio, incluso aunque aparentemente tengan 'la pizarra limpia' en un día determinado, apuesto a que pueden degradarse con el tiempo a medida que se descubren o destacan nuevas vulnerabilidades", añade.
Sampson explica que si existen activos y fuentes de datos expuestas que la subsidiaria no conoce o decide mantener fuera de la empresa matriz, las vulnerabilidades se pasan por alto y se convierten en problemas importantes en el futuro.
Las principales barreras
Los encuestados han identificado el enfoque en el compliance a expensas de la seguridad, los complejos procesos de incorporación, los procesos de gestión de riesgos poco frecuentes y prolongados, el uso excesivo de herramientas manuales y el desfase entre la remediación y los resultados como los principales obstáculos para la gestión de riesgos subsidiarios.
La transformación digital generalizada impulsada por la pandemia y las recientes brechas de suministro de alto perfil en todo el mundo han sido citadas por el 69% y el 56%, respectivamente,como las preocupaciones más imporantes para las subsidiarias.
El informe destaca que las organizaciones están más centradas en los aspectos de cumplimiento de la supervisión de los riesgos de las subsidiarias que en los aspectos de seguridad, lo que deja importantes brechas en lo que respecta a la incorporación y la gestión de las subsidiarias. Todo esto en última instancia genera más ataques.
Otra preocupación importante es la cantidad de tiempo que lleva medir los riesgos asociados con las subsidiarias. En promedio, actualmente toma de una semana a tres meses para el 54 por ciento de las organizaciones, mientras que el 71 por ciento de ellas querría que se reduzca a un día o menos, según los encuestados.
Los encuestados han señalado desfase entre la detección de una brecha de seguridad y su corrección. Aproximadamente el 73 por ciento comentó que se necesita entre una semana y un mes. Este retraso podría presentar una peligrosa oportunidad para un ataque. Sumado a eso, la gran cantidad de herramientas necesarias para administrar los riesgos de seguridad solo se acumula al tiempo total del proceso.
Según el estudio, las empresas con una gran cartera de subsidiarias tienen un 50% más de probabilidades de tardar más de un mes en remediar las brechas de seguridad detectadas que aquellas con menos subsidiarias.
Por otro lado, los encuestados de empresas matrices con 17 o más filiales tendrían casi el doble de probabilidades que los de empresas con menos subsidiarias de decir que la filial ha estado implicada en una cadena de ciberataques más de una vez.
"El desafío con la gestión de riesgos subsidiarios es que podría tener una empresa matriz aquí y otras en varios países y podrían estar utilizando tecnología, procesos, formas de comunicación y cultura completamente diferentes", concluye Rob Gurzeev, director ejecutivo y fundador de empresa Cyber Darkness CyCognito.
El experto advierte, para concluir, de que agregar una filial solo "aumenta el área de superficie de ataque".