La economía digital global se basa en un ecosistema próspero de proveedores externos, lo que permite a las empresas escalar e innovar más rápido de lo que podrían hacerlo por sí solas.
Este ecosistema digital se está mezclando con proveedores de software, no sólo software empresarial que se puede comprar, sino una amplia gama de bibliotecas de software integradas en productos de terceros.
Sin embargo, la velocidad a veces puede ser enemiga del riesgo, ya que muchas organizaciones no han verificado adecuadamente si estas tecnologías de terceros están adecuadamente protegidas contra las ciberamenazas y otros riesgos digitales.
Profesional de Seguridad de la Información y CISO en ISC2.
Entonces, si bien el software es un gran facilitador, también conlleva riesgos, dado que a menudo se construye con marcos y bibliotecas que no son bien conocidos ni no cuentan con un buen soporte.
Considere que las empresas implementan un promedio de 106 aplicaciones SaaS dentro de su entorno de TI y el panorama se vuelve bastante claro: la seguridad de la cadena de suministro de software es una preocupación seria.
No sorprende que la mitad (51%) de los participantes en una encuesta reciente sobre riesgos de la cadena de suministro clasificaran las vulnerabilidades del software de los productos de los proveedores como la amenaza de ciberseguridad más disruptiva para la cadena de suministro de su organización, solo detrás de las filtraciones de datos (64%) y el malware o ransomware (52%).
Una superficie de ataque en constante cambio que consta de servicios en la nube, microservicios, API, plataformas SaaS, servicios de terceros y ahora agentes de IA se ha expandido más allá de lo que se entendía antes de que se estableciera la transformación digital masiva.
¿Qué tan seguro es su propio ecosistema digital extendido? Si esta pregunta hace que su corazón dé un vuelco, eche un vistazo más de cerca a tres consideraciones clave para abordar la seguridad de la cadena de suministro de software.
1. Visibilidad: determine qué hay realmente en su cadena de suministro de múltiples capas
Debido a que la cadena de suministro de software es parte de un vasto ecosistema digital interconectado, es probable que las organizaciones no tengan una visibilidad completa de qué y quién crean sus proveedores externos. Los recientes incidentes de alto perfil han demostrado cuán frágiles pueden ser las cadenas de suministro.
Las organizaciones deben examinar a los socios antes de confiar profundamente en ellos para garantizar la continuidad del negocio. Ese esfuerzo comienza con saber quién está en su ecosistema digital interconectado antes de comenzar a gestionar el riesgo.
Comprender el riesgo a lo largo de una cadena de suministro es conceptualmente simple, pero prácticamente difícil. Si bien delinear claramente los parámetros y requisitos de seguridad en los contratos con los proveedores es un excelente punto de partida, no es suficiente, ya que la contratación suele ser una actividad puntual y debe ir acompañada de un seguimiento. Podrás ver y medir los activos de software para poder gestionarlos mejor
Después de todo, no se puede proteger lo que no se puede ver y muchas empresas aún no cuentan con un inventario de activos completo y preciso, lo que significa que sus divulgaciones de vulnerabilidades están incompletas. Si no sabe qué sistemas, aplicaciones, dispositivos y bibliotecas hay en su entorno, la gestión de vulnerabilidades es conjetura, conjetura y conjetura.
Es importante comprender qué están haciendo sus proveedores tanto en sentido ascendente como a quién suministra usted en sentido descendente, ya que sus decisiones ahora forman parte del propio perfil de riesgo de su organización. El software a menudo presenta el mayor punto ciego de la gestión de activos, gracias a la falta de transparencia en las compilaciones y dependencias del software, la TI en la sombra, la IA en la sombra y los puntos finales no controlados.
La exposición de una organización depende directamente de la postura de seguridad de cada proveedor. Los atacantes lo saben y apuntan cada vez más a socios ascendentes o descendentes. Puedes proteger perfectamente tu propio entorno y seguir siendo vulnerable ante la supervisión de los demás. Por lo tanto, son esenciales herramientas que puedan perfilar, medir y calificar el riesgo en toda la cadena de suministro, al igual que herramientas que monitoreen actividades anómalas.
2. Precaución: Priorice la seguridad de la integración de la IA en toda su cadena de suministro de software
Las amenazas pueden acechar en cualquier lugar y en todas partes de su cadena de suministro. Pero hay un chico nuevo en la ciudad: AI. La cadena de suministro de software se ha ampliado para incluir riesgos exclusivos del ecosistema de IA, como la dependencia de modelos básicos externos y agentes altamente conectados.
Esta creciente integración de herramientas de inteligencia artificial hace que las cadenas de suministro de software multifacéticas sean aún más preocupantes. Los profesionales de ciberseguridad que participaron en el último estudio sobre la fuerza laboral de ciberseguridad revelaron un evento de seguridad preocupante relacionado con la IA que su organización experimentó el año anterior: el envenenamiento de datos (citado por el 11%).
El envenenamiento de datos ocurre cuando los delincuentes insertan intencionalmente datos maliciosos, engañosos o maliciosos en el conjunto de datos de entrenamiento de un modelo de aprendizaje automático. Incluso pequeñas cantidades de datos tóxicos pueden alterar el comportamiento del modelo, lo que da lugar a una clasificación errónea, una precisión degradada o resultados perjudiciales. ¡De repente, el chatbot aparentemente útil integrado en su CRM, CMS u otro software empresarial con un propósito específico podría no ser tan amigable después de todo!
De hecho, las organizaciones tienen poco o ningún control sobre el software que utilizan los proveedores, lo que hace más difícil garantizar que las vulnerabilidades se identifiquen antes de la implementación masiva, así como que se les dé soporte y parcheen una vez implementadas, pero sí tienen control sobre la investigación de proveedores.
Por lo tanto, las personas de su equipo de seguridad y los procesos que siguen son más importantes que nunca. La tecnología acelera ambos lados de la batalla, por lo que su verdadera ventaja proviene de profesionales capacitados que entienden cómo la IA puede cambiar su perfil de riesgo, atacar las superficies e implementar los controles adecuados para compensar.
Los profesionales de ciberseguridad que se especializan en la seguridad de la cadena de suministro de software pueden medir el riesgo de envenenamiento/dirección de modelos, inyección rápida e inversión de modelos, y evaluar sesgos inherentes en modelos de código abierto previamente entrenados, protegiendo la integridad del software y los servicios de vulnerabilidades ascendentes. Este enfoque holístico garantiza que todos los componentes, desde bibliotecas de terceros hasta datos de capacitación, cumplan con los estándares éticos y de seguridad de la organización.
Además, la revisión y evaluación de los contratos de proveedores es una tarea importante para los equipos de ciberseguridad y las partes interesadas. Piense en estas acciones disciplinadas como una prueba de resistencia necesaria destinada a identificar y abordar las debilidades y las necesidades de cambio. Un buen acuerdo con resultados y expectativas claros es parte de una estrategia defensiva de seguridad cibernética, junto con un monitoreo continuo de su gente y su tecnología, sistemas y servicios de defensa.
3. Validación: adoptar marcos de competencias y códigos de prácticas para la seguridad de la cadena de suministro de software
Ninguna organización tiene que enfrentarse sola a las crecientes amenazas a la seguridad de la cadena de suministro de software. Aproveche las directrices existentes, como el Código de prácticas de seguridad de software del Reino Unido, que debe seguir cuando intente solucionar problemas de software en su propia organización.
Este código no solo respalda a los proveedores de software cuando adoptan prácticas seguras de desarrollo del ciclo de vida del software; Ayuda a los clientes de software a reducir la probabilidad y el impacto de los ataques a la cadena de suministro de software.
Además de seguir códigos y otros marcos de orientación, las organizaciones pueden recurrir a marcos de competencias y certificaciones neutrales de proveedores para verificar que sus profesionales de ciberseguridad demuestren algunas de las habilidades necesarias para construir y fortalecer la seguridad y resiliencia de la cadena de suministro.
La gobernanza, el riesgo y el cumplimiento (GRC), el desarrollo de software seguro y las habilidades de inteligencia artificial permiten a los profesionales de riesgos y seguridad cibernética tomar decisiones informadas sobre la seguridad de la cadena de suministro de software y la gestión de riesgos.
Seguridad mejorada contra complicaciones.
Las cadenas de suministro son complejas, más largas y más multidimensionales de lo que se cree. Las organizaciones deben centrarse en gran medida en poner a prueba la resiliencia de los proveedores de software y evaluar continuamente la exposición.
Este enfoque también va más allá de la precaución sobre qué software genera hasta llegar a la recopilación. Una capa potencialmente más dañina que abordar en la macrocadena de suministro involucra el software integrado y las herramientas de inteligencia artificial integradas que otros proveedores están utilizando.
La pregunta no es si su cadena de suministro digital se verá interrumpida. Si tienes visibilidad, alertas y validación cuando funciona. Es resiliencia: la estrella polar de la seguridad de la cadena de suministro de software. Sin lugar a dudas, la transparencia debe impulsarse a través de la cadena de suministro en lugar de permanecer dentro de la organización.
Hemos reunido los mejores paquetes de software de protección de terminales.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: