Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.
Resumen de buceo:
- Las empresas que suministran a las organizaciones financieras obtienen peores resultados en materia de ciberseguridad que las organizaciones a las que suministran, según un informe publicado por BitSight el jueves.
- La brecha de seguridad entre las empresas de servicios financieros y sus proveedores pone de relieve un importante riesgo de terceros que enfrenta el sector financiero, que generalmente supera a otros sectores en materia de ciberseguridad, pero aún está expuesto a las fallas de sus proveedores.
- Las empresas de servicios financieros deberían realizar «diligencia y seguimiento rigurosos» de sus proveedores para evitar ataques a la cadena de suministro, dijo BitSight.
Información de buceo:
Para evaluar la brecha entre las organizaciones de servicios financieros y sus proveedores, BitSight probó una variedad de empresas de cada grupo en 22 vectores de riesgo, incluido el bloqueo de spam, puertos abiertos, seguridad de aplicaciones móviles, seguridad de terminales y cadencia de parches. En 16 de los vectores de riesgo, los proveedores obtuvieron peores resultados que sus clientes, con brechas de hasta el 15%. La seguridad de las aplicaciones web, los encabezados TLS y HTTP se encuentran entre las áreas en las que los proveedores obtuvieron peores resultados en comparación con sus clientes.
Los proveedores obtuvieron mejores resultados que sus clientes en seis vectores de riesgo, incluido el uso de los protocolos de seguridad de correo electrónico DMARC y DKIM y el protocolo DNSSEC para proteger los datos de búsqueda de dominios. BitSight, una firma de análisis de riesgos cibernéticos, dijo que el hallazgo «se alinea con las expectativas de organizaciones más grandes y más centradas en la tecnología».
No es sorprendente que los proveedores tengan más riesgos digitales que sus clientes, dado que también tienen más activos digitales, dijo BitSight. Estos proveedores también están «absorbiendo los riesgos cibernéticos asociados con los problemas» que están resolviendo para sus clientes, según el informe.
De todos modos, BitSight dijo en su informe, «dados los requisitos regulatorios y el riesgo de exposición, puede ser preocupante para las organizaciones del sector financiero saber que sus proveedores tienden a tener un desempeño inferior en lo que respecta a la seguridad».
Según el informe, el sector financiero está monitoreando mejor la seguridad de sus proveedores que otros sectores. La empresa financiera promedio monitorea el 36% de su cadena de suministro, en comparación con una cifra del 25% para las organizaciones de todos los sectores.
«Dado el creciente número de incidentes en la cadena de suministro que involucran a proveedores de tecnología, tal vez las organizaciones del sector financiero deberían monitorear más a sus proveedores», dijo BitSight. «Por otro lado, es posible que las organizaciones del sector financiero hayan tomado una determinación de criticidad y hayan llegado a la conclusión de que la gran mayoría de los proveedores de tecnología dentro de su cadena de suministro no necesitan ser monitoreados continuamente».
Los proveedores del sector financiero cuyos clientes no monitorean su seguridad tienen aproximadamente tres veces más vulnerabilidades críticas en sus entornos en comparación con los proveedores que sí lo están, según BitSight.
Una de las estadísticas más curiosas del informe tiene que ver con el desempeño de los proveedores que múltiples clientes están monitoreando. BitSight encontró «una ligera disminución en el rendimiento de seguridad de [suppliers] que son monitoreados por más organizaciones”, lo que, según dijo, podría deberse a que esos proveedores son los mayores vendedores (y por lo tanto tienen las mayores superficies de ataque).
«Creemos que esta es una tendencia que merece un mayor análisis y realizaremos investigaciones adicionales en esta área», dijo BitSight, «incluido el impacto que tiene el compromiso directo con las organizaciones en la postura de seguridad».
Fuente