Red Seguridad 107

red seguridad cuarto trimestre 2024 131 opinión normativo, hayan crecido las inversiones y las actuaciones al respecto. ¿No crees? Pues veamos qué cuentan los datos. Ataques a terceros Desde que comenzamos a realizar el es- tudio en 2017, la evolución de la superfi- cie a proteger se ha elevado hasta alcan- zar su máximo actual, consecuencia de la creciente digitalización de los modelos de negocio. En concreto, un 63,6 por ciento de los encuestados declara tener proveedores que se conectan a sus siste- mas y un 60,5 por ciento afirma que tiene proveedores que gestionan su informa- ción en los propios sistemas del tercero. Este dato es especialmente crítico, con- siderando que los ataques relacionados con proveedores han vuelto a aumentar hasta alcanzar el 48,6 por ciento. Es de- cir, prácticamente una de cada dos orga- nizaciones reconoce haber experimenta- do ataques originados en terceros. Es cierto que la mayoría de las orga- nizaciones están avanzando en imple- mentar programas de gestión de riesgos de terceros, orientados a disponer de in- formación lo más fiable posible sobre su nivel de seguridad para una mejor toma de decisiones. Sin embargo, implantar estos programas no es trivial dado el vo- lumen, la disparidad de proveedores y la escasez de recursos que habitualmente se pueden dedicar al programa. Al me- nos eso indican los datos: Área que gestiona a los proveedores. La situación de compras /aprovisiona- miento se mantiene respecto al año an- terior y, aunque el nivel de preocupación se mantiene (49,6 por ciento), solo el tres por ciento de las mismas tiene algu- na responsabilidad en la ciberseguridad de la cadena de suministro (aunque, al menos, ha subido desde el raquítico uno por ciento de la edición anterior). Supervisiones. Aumenta el grado de supervisión anual del riesgo de terce- ros hasta alcanzar un 55,3 por ciento y se reducen hasta un siete por ciento las organizaciones que no evalúan en absoluto a sus proveedores. A pesar de ello, son mejores cifras que en edicio- nes anteriores, y la concienciación va funcionando; sigue siendo necesario continuar con el esfuerzo. Mecanismos utilizados. Es este otro aspecto que mejora, porque mientras que en ediciones anteriores el cuestio- nario era el mecanismo más usado, en esta edición se ha nivelado con las evaluaciones documentales y las au- ditorías y certificaciones de terceros. En este sentido, observamos cómo los procesos de gestión de riesgo de ter- ceros aumentan su nivel de madurez, ampliando los mecanismos utilizados, a la par que decrece la confianza que se deposita en las certificaciones de sistemas de gestión (en un 28,7 por ciento, el mínimo de la serie). Respecto a este último punto, y ante el reto de implementar una “seguridad inter- dependiente” en todo el ecosistema que asegure una mejora del nivel de protec- ción de toda la cadena de suministro − dado que las certificaciones se enfrentan al reto de la normalización de líneas base para un número casi infinito de casos de uso−, la calificación de ciberseguridad es utilizada por uno de cada cuatro encues- tados (un aumento del 55 por ciento res- pecto a la edición anterior) para conocer de manera eficiente y construir indicado- res del nivel de seguridad de todo su eco- sistema productivo. De hecho, un análisis detallado de las calificaciones emitidas señala una mejora en la ciberseguridad de los servicios calificados, como indica el continuo desplazamiento hacia notas más altas, año tras año. Inversión en ciberseguridad Entonces, ¿está aumentando la inver- sión en ciberseguridad? La respuesta corta es sí, pero… Tal y como indica el gráfico de evolución de las inversiones en ciberseguridad, claramente hay un aumento, y sí parece que finalmente las entidades están invirtiendo allí donde di- cen que les duele o les preocupa, pero otra cosa es que esté acorde al nivel de preocupación reflejado o al contexto normativo o tecnológico actual. Yo ya tengo curiosidad por ver cómo afectarán los actuales cambios en mar- cha a los resultados del próximo estudio. ¿Y tú? Si quieres conocer con más de- talle los datos del estudio, cada uno de los realizados están a tu disposición en la sección de documentación de nuestra web, incluido el más reciente. Evolución de las inversiones en ciberseguridad.