3 estrategias para proteger su cadena de suministro digital

Harvard Business School Publishing Corp.21-10-2021

En julio, REvil, una banda de ciberdelincuentes rusos, fue capaz de desconectar los sistemas de tecnologías de la información de 800 tiendas de abarrotes suecas, un par de escuelas neozelandesas, dos gobiernos locales de Maryland y otras mil empresas de todo el mundo. Los atacantes descubrieron que Kaseya, un software utilizado por los contratistas de TI para gestionar las redes corporativas de forma remota, tenía numerosas vulnerabilidades de ciberseguridad. Al atacar Kaseya, REvil consiguió una puerta trasera a los sistemas de TI de las numerosas organizaciones a las que el software daba soporte.

Hoy en día, la mayoría de los productos de software dependen de miles de paquetes preescritos producidos por proveedores o extraídos de bibliotecas de código abierto. Los componentes más utilizados en la cadena de suministro de software de terceros son el objetivo de los ciberdelincuentes. Y son vulnerables. Una auditoría realizada en 2020 por Synopsys descubrió que el 49% de las bases de código comerciales utilizan componentes vulnerables de código abierto.

Sin embargo, las empresas no necesitan sentirse indefensas. En los últimos años, los investigadores de seguridad y las agencias de intercambio de información han identificado miles de vulnerabilidades críticas antes de que fueran explotadas por actores maliciosos. Las empresas sólo deben mantenerse informadas, priorizar y atender rápidamente las vulnerabilidades. Las empresas que no abordan las debilidades para las que existe una solución corren un grave riesgo.

Los líderes corporativos y los equipos de TI pueden tomar tres medidas para remediar las vulnerabilidades y prevenir los ciberataques a la cadena de suministro:

• — LOS RESPONSABLES DEBEN CONFIAR MÁS EN HERRAMIENTAS AUTOMATIZADAS PARA SOLUCIONAR VULNERABILIDADES SENCILLAS: El repositorio de código en línea GitHub ha desarrollado un “código robot automatizado” que con un solo clic identifica y corrige las vulnerabilidades sencillas de los usuarios. Con la generalización de las listas de materiales de software (SBOM, por sus siglas en inglés), que enumeran los componentes de la cadena de suministro integrados en la base de código de sus productos, se desarrollarán servicios similares. Sin embargo, pocas empresas han incorporado estas herramientas a sus flujos de trabajo informáticos: Sólo 42 de los 1,896 usuarios de GitHub a quienes se contactó respecto a una vulnerabilidad aceptaron el parche automatizado.
   
• — LAS EMPRESAS DEBERÍAN REALIZAR UN ANÁLISIS DE COSTO-BENEFICIO RESPECTO AL PARCHEO DE VULNERABILIDADES: Corregir todas las vulnerabilidades es impráctico, ya que muchos problemas no son fáciles de solucionar. Afortunadamente, no es necesario solucionarlos todos. Muchas vulnerabilidades son tan costosas de aprovechar que es poco probable que sean explotadas por los ciberdelincuentes. Por esta razón, las empresas deberían decidir qué debilidades corregir en función de la probabilidad de que sean explotadas. Una herramienta útil para conseguirlo es el Exploit Prediction Scoring System, desarrollado por un equipo de expertos en ciberseguridad y proveedores de software. Calcula las probabilidades de que una vulnerabilidad sea explotada en función de sus características inherentes y puede ayudar a los gestores de riesgos a determinar si los beneficios en ciberseguridad de solucionar una vulnerabilidad superan las disrupciones que causará su reparación.
   
• — LOS COMPRADORES DEBEN EXIGIR A LOS PROVEEDORES DE TECNOLOGÍAS CRÍTICAS QUE APLIQUEN “PARCHES EN CALIENTE”: Algunas tecnologías, como los sistemas de control industrial que hacen funcionar las fábricas y el software que gestiona las redes eléctricas y de distribución de agua, son tan fundamentales que no pueden fallar. Las empresas quieren que estén libres de cualquier vulnerabilidad conocida. Estas empresas deben exigir que sus proveedores implementen de sistemas de parcheo en caliente, permitiéndoles desplegar parches sin reiniciar el software.

Sin duda, estas medidas no protegerán a las empresas contra todos los riesgos de la cadena de suministro de software. Aun así, al adoptar estas medidas, las empresas podrán repeler la mayoría de los ataques, que aprovechan las vulnerabilidades conocidas y explotables.
      

c.2020 Harvard Business School Publishing Corp. Distribuido por The New York Times Licensing Group

¿Te pareció útil este contenido?