3 estrategias para proteger su cadena de suministro digital
Harvard Business School Publishing Corp.21-10-2021
Kiran Sridhar es investigador en el Center for Risk Studies, donde Daniel Ralph es fundador y director académico, y Jennifer Copic es investigadora senior.
En julio, REvil, una banda de ciberdelincuentes rusos, fue capaz de desconectar los sistemas de tecnologías de la información de 800 tiendas de abarrotes suecas, un par de escuelas neozelandesas, dos gobiernos locales de Maryland y otras mil empresas de todo el mundo. Los atacantes descubrieron que Kaseya, un software utilizado por los contratistas de TI para gestionar las redes corporativas de forma remota, tenía numerosas vulnerabilidades de ciberseguridad. Al atacar Kaseya, REvil consiguió una puerta trasera a los sistemas de TI de las numerosas organizaciones a las que el software daba soporte.
Hoy en día, la mayoría de los productos de software dependen de miles de paquetes preescritos producidos por proveedores o extraídos de bibliotecas de código abierto. Los componentes más utilizados en la cadena de suministro de software de terceros son el objetivo de los ciberdelincuentes. Y son vulnerables. Una auditoría realizada en 2020 por Synopsys descubrió que el 49% de las bases de código comerciales utilizan componentes vulnerables de código abierto.
Sin embargo, las empresas no necesitan sentirse indefensas. En los últimos años, los investigadores de seguridad y las agencias de intercambio de información han identificado miles de vulnerabilidades críticas antes de que fueran explotadas por actores maliciosos. Las empresas sólo deben mantenerse informadas, priorizar y atender rápidamente las vulnerabilidades. Las empresas que no abordan las debilidades para las que existe una solución corren un grave riesgo.
Los líderes corporativos y los equipos de TI pueden tomar tres medidas para remediar las vulnerabilidades y prevenir los ciberataques a la cadena de suministro:
- — LOS RESPONSABLES DEBEN CONFIAR MÁS EN HERRAMIENTAS AUTOMATIZADAS PARA SOLUCIONAR VULNERABILIDADES SENCILLAS: El repositorio de código en línea GitHub ha desarrollado un “código robot automatizado” que con un solo clic identifica y corrige las vulnerabilidades sencillas de los usuarios. Con la generalización de las listas de materiales de software (SBOM, por sus siglas en inglés), que enumeran los componentes de la cadena de suministro integrados en la base de código de sus productos, se desarrollarán servicios similares. Sin embargo, pocas empresas han incorporado estas herramientas a sus flujos de trabajo informáticos: Sólo 42 de los 1,896 usuarios de GitHub a quienes se contactó respecto a una vulnerabilidad aceptaron el parche automatizado.
- — LAS EMPRESAS DEBERÍAN REALIZAR UN ANÁLISIS DE COSTO-BENEFICIO RESPECTO AL PARCHEO DE VULNERABILIDADES: Corregir todas las vulnerabilidades es impráctico, ya que muchos problemas no son fáciles de solucionar. Afortunadamente, no es necesario solucionarlos todos. Muchas vulnerabilidades son tan costosas de aprovechar que es poco probable que sean explotadas por los ciberdelincuentes. Por esta razón, las empresas deberían decidir qué debilidades corregir en función de la probabilidad de que sean explotadas. Una herramienta útil para conseguirlo es el Exploit Prediction Scoring System, desarrollado por un equipo de expertos en ciberseguridad y proveedores de software. Calcula las probabilidades de que una vulnerabilidad sea explotada en función de sus características inherentes y puede ayudar a los gestores de riesgos a determinar si los beneficios en ciberseguridad de solucionar una vulnerabilidad superan las disrupciones que causará su reparación.
- — LOS COMPRADORES DEBEN EXIGIR A LOS PROVEEDORES DE TECNOLOGÍAS CRÍTICAS QUE APLIQUEN “PARCHES EN CALIENTE”: Algunas tecnologías, como los sistemas de control industrial que hacen funcionar las fábricas y el software que gestiona las redes eléctricas y de distribución de agua, son tan fundamentales que no pueden fallar. Las empresas quieren que estén libres de cualquier vulnerabilidad conocida. Estas empresas deben exigir que sus proveedores implementen de sistemas de parcheo en caliente, permitiéndoles desplegar parches sin reiniciar el software.
Sin duda, estas medidas no protegerán a las empresas contra todos los riesgos de la cadena de suministro de software. Aun así, al adoptar estas medidas, las empresas podrán repeler la mayoría de los ataques, que aprovechan las vulnerabilidades conocidas y explotables.
c.2020 Harvard Business School Publishing Corp. Distribuido por The New York Times Licensing Group
¿Te pareció útil este contenido?
Continúe leyendo
12-10-2021Harvard Business School Publishing Corp.
5 razones por las que sus empleados no entienden la visión de la compañía
Si tu equipo adopta la visión empresarial como suya en todo lo que hace, la compañía obtendrá los resultados que necesita. Si crees que ya has comunicado claramente la visión, pero aún los resultados no hablan por sí solos o si deseas reforzar ese mensaje, esto es para ti. La instructura de CEOs, Sabina Nawaz, nos muestra los síntomas que puede tener tu empresa y las recomendaciones a seguir
14-10-2021The New York Times Company
Cómo una impresora 3D de 3 metros de altura está ayudando a crear una comunidad
Con la pandemia se produjo un auge en la impresión de objetos 3D, un mercado que según la consultora Smithers, tendrá un valor de USD55.800 millones para 2027. Conoce cómo esta tecnología está modificando industrias y ayudando a desarrollar comunidades especialmente en México y Estados Unidos.
13-10-2021Harvard Business School Publishing Corp.
Diseñe espacios físicos y digitales para fomentar la inclusión
Los líderes necesitan nuevas herramientas para gestionar la diversidad y la inclusión en sus organizaciones, pues los enfoques actuales no logran superar siempre la resistencia al cambio en las personas y las culturas organizacionales. Un estudio demostró que una de las herramientas más poderosas y probadas de la psicología es el diseño de espacios físicos y virtuales de interacción; este podría ser un mejor camino para alcanzar la inclusión. Conoce aquí algunas ideas de cómo lograrlo, de acuerdo con las recomendaciones de los expertos.
Suscríbase a nuestro boletín
Capital Inteligente
- Para conocer
el acontecer económico. - Para tomar mejores
decisiones de inversión. - Para compartir
información de valor.
Lo más reciente
26-11-2024
/CapitalInteligente/Categoria Capital Inteligente/Especiales
Especial infraestructura 2024: retos, tendencias de inversión y oportunidades hacia 2030
26-11-2024
/CapitalInteligente/Categoria Capital Inteligente/Actualidad economica y sectorial
Análisis y gestión de riesgos de mercado en los proyectos de infraestructura vial en Colombia
20-11-2024
/CapitalInteligente/Categoria Capital Inteligente/Actualidad economica y sectorial