Navegando la complejidad de la cadena de suministro de software: visibilidad, vigilancia y validación



El ecosistema digital global se sostiene gracias a una floreciente red de proveedores externos, permitiendo a las organizaciones escalar e innovar con rapidez. Este entorno no solo está lleno de software comercial que se compra, sino también de una amplia gama de bibliotecas y componentes incrustados en productos de terceros.

La velocidad es, en ocasiones, enemiga del riesgo: muchas organizaciones no han verificado de forma adecuada si las tecnologías de terceros cuentan con salvaguardas suficientes contra amenazas cibernéticas y otros riesgos digitales. Así, si bien el software es un habilitador poderoso, también conlleva riesgos cuando se construye con marcos y bibliotecas que no siempre son conocidos o están bien soportados.

Se estima que las empresas utilizan en promedio 106 aplicaciones SaaS dentro de sus entornos de TI, lo que deja claro que la seguridad de la cadena de suministro de software es una preocupación seria.

No es casualidad que la mitad de los participantes en la última Encuesta de Riesgos de la Cadena de Suministro haya clasificado las vulnerabilidades de software en productos de proveedores como la amenaza de ciberseguridad más disruptiva para la cadena de suministro de su organización (51%), superada solo por filtraciones de datos (64%) y malware o ransomware (52%).

Un panorama de ataque cada vez más dinámico, que abarca servicios en la nube, microservicios, APIs, plataformas SaaS y ahora agentes de IA, se ha extendido más allá de lo que alguna vez se consideró un perímetro conocido antes de la transformación digital masiva.

¿Cómo de segura es su propia ecosistema digital extendido? Si esta pregunta acelera su pulso, observe tres consideraciones clave para abordar la seguridad de la cadena de suministro de software.

1. Visibilidad: determine qué hay realmente en su cadena de suministro multi‑capa

Dado que la cadena de suministro de software forma parte de un ecosistema digital vasto e interconectado, las organizaciones a menudo no tienen plena visibilidad de quiénes componen a sus proveedores terceros. Incidentes de alto perfil recientes han mostrado lo frágil que puede ser una cadena de suministro.

Garantizar la continuidad del negocio requiere que las organizaciones evalúen a sus socios antes de otorgarles una confianza tan profunda. Ese esfuerzo empieza por saber quién forma parte de su ecosistema digital interconectado antes de gestionar el riesgo.

Comprender el riesgo a lo largo de la cadena de suministro es conceptualmente sencillo, pero prácticamente complejo. Si bien delinear claramente los parámetros y requisitos de seguridad en los contratos con los proveedores es un buen punto de partida, el contrato es a menudo una actividad puntual y debe complementarse con monitoreo continuo. Debe poder ver y medir los activos de software para gestionarlos mejor.

Después de todo, no puede proteger lo que no puede ver. Muchas empresas siguen sin tener un inventario de activos completo y preciso, lo que significa que su exposición a vulnerabilidades es incompleta. Si desconoce qué sistemas, aplicaciones, dispositivos y bibliotecas componen su entorno, la gestión de vulnerabilidades se convierte en conjeturas y suposiciones.

Es crucial entender qué están haciendo sus proveedores tanto aguas arriba como aguas abajo, porque sus decisiones ahora forman parte del propio perfil de riesgo de la organización. El software suele representar los mayores puntos ciegos en la gestión de activos, en gran parte debido a la falta de transparencia en la compilación y dependencias, la sombra de TI, la sombra de IA y los endpoints no gestionados.

La exposición de una organización está directamente ligada a la postura de seguridad de cada proveedor del que depende. Los atacantes lo saben y, cada vez más, atacan a socios aguas arriba o aguas abajo. Incluso si su entorno está perfectamente protegido, puede haber vulnerabilidades a través de la supervisión de otros. Por ello, herramientas que perfilen, cuantifiquen y califiquen el riesgo de la cadena de suministro son esenciales, al igual que las herramientas que monitorean actividad inusual.

2. Vigilancia: priorizar la seguridad de las integraciones de IA a lo largo de la cadena de suministro de software

Las amenazas pueden estar en cualquier lugar de la cadena de suministro. Pero hay un nuevo actor: la IA. La cadena de suministro de software se ha expandido para incorporar riesgos propios de la IA, como la dependencia de modelos base externos y de agentes altamente conectados.

Esta integración creciente de herramientas de IA eleva la complejidad de la cadena de suministro y sus riesgos. Profesionales de ciberseguridad que participaron en el más reciente Estudio de Fuerza Laboral en Ciberseguridad identificaron un evento de seguridad relacionado con IA en el año anterior: intoxicación de datos (data poisoning) citada por un 11%.

La intoxicación de datos ocurre cuando atacantes insertan intencionalmente datos corruptos, engañosos o maliciosos en el conjunto de entrenamiento de un modelo de aprendizaje automático. Incluso una pequeña cantidad de datos contaminados puede cambiar el comportamiento del modelo, generando clasificaciones erróneas, menor precisión u outcomes maliciosos. Así, ese chatbot aparentemente útil incrustado en su CRM, CMS u otro software empresarial podría no ser tan inofensivo.

Las organizaciones tienen poco o ningún control sobre el software que utilizan sus proveedores, lo que dificulta asegurar que las vulnerabilidades se identifiquen antes de un despliegue general y que estén soportadas y parcheadas tras el despliegue. Sin embargo, sí pueden controlar la supervisión de los proveedores.

Por ello, el equipo de seguridad y los procesos que siguen importan más que nunca. La tecnología acelera ambos lados de la batalla, por lo que la ventaja real proviene de contar con profesionales capacitados que entiendan cómo la IA altera el perfil de riesgo, la superficie de ataque y que puedan implementar los controles adecuados para compensar.

Los profesionales de ciberseguridad especializados en seguridad de la cadena de suministro de software pueden cuantificar el riesgo de la manipulación o dirección de modelos, inyección de prompts y inversión de modelos, y evaluar el sesgo inherente de modelos abiertos. Así se protege la integridad del software y los servicios desde las vulnerabilidades aguas arriba. Este enfoque holístico garantiza que cada componente, desde bibliotecas de terceros hasta los propios datos de entrenamiento, cumpla con los estándares de seguridad y éticos de la organización.

Además, revisar y evaluar los acuerdos con proveedores es una tarea importante para equipos de seguridad y las partes interesadas. Piensen en estas acciones disciplinadas como una prueba de esfuerzo necesaria para identificar y abordar debilidades y necesidades cambiantes. Un buen contrato, con entregables y expectativas claras, forma parte de una estrategia defensiva de ciberseguridad junto con las personas, las tecnologías de defensa y la supervisión continua de sistemas y servicios.

3. Validación: adopte marcos de habilidades y códigos de práctica para la seguridad de la cadena de suministro de software

Ninguna organización debe enfrentarse solo a la mayor amenaza de la seguridad de la cadena de suministro de software. Aproveche guías existentes como el Código de Prácticas de Seguridad de Software del Reino Unido para guiar la defensa de su propia organización.

Este código no solo apoya a los proveedores de software en el desarrollo seguro a lo largo del ciclo de vida, sino también a los clientes de software para mitigar la probabilidad e impacto de ataques a la cadena de suministro de software.

Además de seguir estos códigos y marcos de guía, las organizaciones pueden recurrir a marcos de habilidades y certificaciones neutrales de proveedores para validar que sus profesionales de ciberseguridad demuestren las competencias necesarias para fortalecer la seguridad y la resiliencia de la cadena de suministro.

El desarrollo de habilidades en gobernanza, riesgo y cumplimiento (GRC), desarrollo de software seguro y capacidades de IA permite a quienes trabajan en ciberseguridad y gestión de riesgos tomar decisiones informadas sobre seguridad de la cadena de suministro de software y gestión de riesgos.

De la complejidad a una seguridad mejor

Las cadenas de suministro son complejas, largas y multidimensionales. Las organizaciones deben enfocarse más en someter a prueba la resiliencia de los proveedores de software y en evaluar de forma continua la exposición.

Este enfoque va más allá de ser cuidadoso con lo que llega a la informática; la capa potencialmente más dañina a abordar es el software integrado y las herramientas de IA que usan otros proveedores.

La pregunta no es si su cadena digital sufrirá una interrupción, sino si usted tiene la visibilidad, la vigilancia y la validación para operar cuando ocurra. Eso es resiliencia: la estrella polar de la seguridad de la cadena de suministro de software. Sin duda, la transparencia debe recorrer las cadenas de suministro en lugar de quedar solo dentro de la organización.

Tenemos un resumen de las mejores soluciones de protección de dispositivos para apoyar estos esfuerzos, disponible para lectura adicional.

Este artículo forma parte de TechRadar Pro Perspectives, nuestro canal para presentar a las mejores mentes en la industria tecnológica de hoy. Las opiniones aquí expresadas son del autor y no necesariamente las de TechRadar Pro o Future plc. Si está interesado en contribuir, puede obtener más información en el enlace proporcionado.

from Latest from TechRadar https://ift.tt/XLgcJvO
via IFTTT IA