Los recientes ataques a la cadena de suministro de software han llevado al Senado de los Estados Unidos a aprobar una ley que refuerza la formación en ciberseguridad del personal federal encargado de las adquisiciones. La Ley de Formación en Seguridad de la Cadena de Suministro obliga a las agencias a evaluar y mitigar los riesgos de la cadena de suministro a lo largo de todo el ciclo de vida de las adquisiciones. El Departamento de Seguridad Nacional, el NIST y otras agencias federales se encargan de coordinar y hacer cumplir este programa.
La gestión de los riesgos de la cadena de suministro de software no solo requiere proteger a su organización contra ataques directos, sino también mitigar el riesgo de violaciones de datos por parte de terceros y cuartos que podrían perturbar su negocio.
¿Qué significa la seguridad de la cadena de suministro de software para TPRM?
La cadena de suministro de software se refiere a las aplicaciones que utiliza para prestar servicios a sus clientes. En la gestión de riesgos de terceros, la seguridad de la cadena de suministro de software implica identificar posibles vulnerabilidades en los componentes subyacentes de esas aplicaciones y evaluar la probabilidad de que sean manipuladas por ciberdelincuentes.
Es esencial contar con disposiciones más estrictas en materia de ciberseguridad para reforzar la gestión de riesgos en la cadena de suministro, y sugerimos que todas las organizaciones, no solo las agencias federales, consideren la posibilidad de aplicar las siguientes prácticas recomendadas.
Mejores prácticas de seguridad en la cadena de suministro de software
1. Mejorar la diligencia debida de los proveedores con evaluaciones de riesgos internas y externas combinadas.
Para minimizar el riesgo de interrupciones en la cadena de suministro de software de terceros, exija a los proveedores de soluciones que compartan información sobre el ciclo de vida del desarrollo de su software, incluyendo:
- Los orígenes de su código fuente
- Sus procesos de garantía de calidad (QA)
- Sus acuerdos de nivel de servicio (SLA) para identificar y corregir vulnerabilidades.
Aunque las evaluaciones iniciales pueden basarse en cuestionarios a los proveedores, estos solo ofrecen una instantánea en el tiempo. Complemente sus evaluaciones de proveedores con datos sobre riesgos de proveedores actualizados continuamente procedentes de fuentes como:
- Foros criminales, páginas onion, foros de acceso especial a la web oscura, fuentes de amenazas y sitios de pegado para credenciales filtradas. Supervisar las conversaciones en estos sitios puede proporcionar un indicador de alerta temprana de que un socio de la cadena de suministro ha sido o será objeto de un ataque.
- Comunidades de seguridad, repositorios de código, bases de datos de vulnerabilidades y notificaciones históricas de violaciones de datos para comprobar periódicamente la higiene de seguridad de los proveedores.
- Información sobre riesgos reputacionales, incluyendo cobertura mediática adversa, inclusión en listas de sanciones globales o propiedad por parte de una empresa estatal.
Al realizar un seguimiento de estas fuentes de inteligencia, mantendrá una visión actualizada de las vulnerabilidades de sus proveedores, pasando de evaluaciones de riesgo estáticas a dinámicas.
Sin embargo, hay que tener cuidado de no crear un programa de supervisión de riesgos demasiado complejo y potencialmente costoso. Con cientos de fuentes potenciales de inteligencia sobre ciberseguridad y reputación, es fácil verse rápidamente abrumado por datos inconexos procedentes de fuentes dispares y con licencias independientes.
Elija plataformas que centralicen la información procedente de múltiples fuentes de inteligencia, corroboren los resultados de las evaluaciones e informen de manera significativa sobre la posible exposición al riesgo de los proveedores.
2.
Mapee su cadena de suministro ampliada para descubrir riesgos ocultos
La visibilidad disminuye cuanto más se remonta en la cadena de suministro, lo que puede ocultar riesgos como
Ataques de ransomware y violaciones de seguridad. Obtener visibilidad sobre su ecosistema de proveedores ampliado puede revelar relaciones en las que se maneja su información, pero recopilar esta información puede llevar mucho tiempo y quedar rápidamente desactualizada.
Para descubrir estos riesgos, cree perfiles completos de los proveedores utilizando una plataforma de evaluación de terceros. Estos deben incluir información clave sobre los proveedores, como su ubicación, cuartas partes, tecnologías implementadas, así como datos de análisis perimetral de proveedores externos. El resultado será un mapa de relaciones que identifica fácilmente el riesgo de concentración tecnológica, por lo que estará mejor preparado cuando se produzca el próximo caso SolarWinds.
3. Automatizar la respuesta ante incidentes para acelerar la mitigación de riesgos.
Cuando se produce una violación a gran escala de la cadena de suministro de software, la primera pregunta natural que surge es: «¿Nos afecta?», seguida rápidamente de «¿Afecta a nuestros terceros?». Hemos visto este escenario repetirse varias veces con violaciones como las de SolarWinds y Kaseya. Disponer de perfiles completos de los proveedores, tal y como se describe en las prácticas recomendadas anteriores, le situará en una posición ideal para responder rápidamente a esa pregunta.
Sin embargo, cuando llega el momento de determinar la exposición de un proveedor y los planes de mitigación, muchas organizaciones se encuentran en desventaja, ya que utilizan hojas de cálculo para evaluar y clasificar los riesgos entre los cientos de socios de la cadena de suministro.
A continuación se indican algunos pasos para adoptar un enfoque más inteligente y rápido en la respuesta a incidentes:
- Centralice la gestión de todos sus proveedores, no solo de los de alto nivel. Los riesgos de la cadena de suministro de software están muy extendidos y pueden afectar a más proveedores que los considerados más críticos.
- Realice evaluaciones específicas para cada incidente y realice un seguimiento de las mismas, ofreciendo recomendaciones de corrección para acelerar la mitigación de riesgos. Incluya preguntas sobre la continuidad del negocio, las copias de seguridad y los planes de recuperación en estas evaluaciones.
- Permita que terceros informen de incidentes de forma proactiva a través de un sistema estandarizado de notificación de eventos que puntúa y escalada los riesgos para una clasificación y notificación eficientes.
- Implemente reglas de flujo de trabajo que inicien acciones automatizadas, lo que le permitirá responder a los riesgos en función de su posible impacto en el negocio.
- Centralizar el análisis de los resultados de las evaluaciones para sincronizar las medidas correctivas con los socios y comunicar los avances a la dirección.
Próximos pasos para mejorar la seguridad de la cadena de suministro de software
Una postura manual y reactiva ante las vulnerabilidades del software no es suficiente. La implementación de estas prácticas recomendadas le permitirá estar mejor preparado para el próximo desafío de seguridad de la cadena de suministro.
Para obtener más información sobre cómo Prevalent puede ayudar a reducir el riesgo de la cadena de suministro en cada etapa del ciclo de vida del proveedor, lea nuestro informe técnico «Navegando por el ciclo de vida del riesgo del proveedor» o solicite hoy mismo una demostración para una sesión estratégica.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
