Los fallos de seguridad de los dispositivos cuestan a las organizaciones 10.900 millones de dólares al año en todo el mundo, según un informe de HP, y siguen poniendo de relieve importantes vulnerabilidades en los procesos de adquisiciones y de la cadena de suministro.
Los datos subrayan la necesidad urgente de que las organizaciones aborden la seguridad al contratar y gestionar proveedores de tecnología.
El estudio de HP Wolf Security examina las consecuencias financieras y operativas de las infracciones de dispositivos de los usuarios finales. Dispositivos como computadoras portátiles, de escritorio e impresoras sirven como puntos de entrada clave para los ciberataques y las fallas en la gestión de adquisiciones y de la cadena de suministro a menudo exponen a las organizaciones a estas amenazas.
La escasa visibilidad de las cadenas de suministro, las evaluaciones inadecuadas de los proveedores y la priorización de los costos sobre la seguridad durante las adquisiciones contribuyen a vulnerabilidades importantes.
Ian Pratt, director global de seguridad de HP, afirma: “Los costos que estamos viendo aquí son sólo la punta del iceberg. Las organizaciones deben pensar en la seguridad de los dispositivos como una inversión crítica para el negocio y no como una ocurrencia tardía”.
Esta declaración destaca la necesidad de que los equipos de adquisiciones y cadena de suministro adopten enfoques que prioricen la seguridad al adquirir tecnología.
Asegurar la cadena de suministro: una prioridad en materia de adquisiciones
El informe de HP revela que el 68% de las organizaciones han experimentado daños financieros u operativos debido a violaciones de seguridad relacionadas con los dispositivos. Los gerentes de adquisiciones y cadena de suministro desempeñan un papel fundamental a la hora de abordar estos riesgos al incorporar requisitos de ciberseguridad en los contratos de proveedores, los marcos de adquisiciones y la gestión continua de proveedores.
Dado que los dispositivos son fundamentales para las operaciones comerciales, las organizaciones deben priorizar las prácticas de abastecimiento seguro. Los equipos de adquisiciones deben trabajar en estrecha colaboración con los líderes de seguridad y TI para establecer estándares de seguridad de proveedores que incluyan protección de dispositivos de extremo a extremo, seguridad de firmware y actualizaciones periódicas de software. La transparencia de la cadena de suministro es fundamental, y los profesionales de adquisiciones necesitan garantías de que los proveedores cumplen con los estándares de ciberseguridad durante todo el ciclo de vida del producto.
El informe también destaca los riesgos que plantean las complejas cadenas de suministro globales. Los dispositivos y componentes a menudo pasan por varios proveedores, lo que aumenta el riesgo de manipulación, piezas falsificadas o vulnerabilidades sin parches. La implementación de prácticas de gestión de riesgos de la cadena de suministro, como auditorías de proveedores y certificaciones de seguridad, ayuda a mitigar estos problemas. Los equipos de adquisiciones deben garantizar que los proveedores cumplan con marcos reconocidos como ISO 27001 o los estándares de ciberseguridad NIST para reducir los riesgos en cada etapa.
Un error común observado en el informe es la tendencia a centrarse en el ahorro de costos durante las adquisiciones. Si bien la reducción de costos puede proporcionar beneficios a corto plazo, esto a menudo conduce a la adquisición de dispositivos que carecen de características de seguridad sólidas, lo que aumenta la exposición a largo plazo a infracciones. Al equilibrar las consideraciones de costos con los requisitos de seguridad, las adquisiciones pueden reducir el riesgo de daños financieros y de reputación significativos.
