Evaluación y reducción del riesgo de ciberseguridad en la cadena de suministro de los proveedores de software

El ataque a SolarWinds representa un útil recordatorio de que los adversarios modernos, tanto ciberdelincuentes como Estados hostiles, continúan innovando y evolucionando en sofisticación, astucia y persistencia. Para desarrollar sus ataques utilizan las mismas herramientas avanzadas —análisis heurísticos, aprendizaje automático, inteligencia artificial, mayor integración y automatización— que emplean los proveedores legítimos de tecnología y de servicios para defender sus empresas y sus clientes. Es una batalla en la que los agresores normalmente tienen la ventaja del que actúa primero: es más fácil atacar que detectar, contener, neutralizar y recuperarse de un ataque.

La implementación de un marco completo de seguridad ISO/IEC o NIST suele superar las necesidades y los recursos de muchos MSP, pero la filosofía en la que se asientan estos marcos aún puede ser útil. Proporcionan un vocabulario y una metodología de eficacia probada para gestionar los riesgos de ciberseguridad. Con estas preguntas básicas puede iniciar el camino para identificar y reducir sistemáticamente el riesgo de seguridad de su cadena de suministro de software. Una postura basada en estos marcos le ayudará a identificar las áreas de los procesos existentes que puede reforzar y a implementar procesos nuevos, así como a priorizar los requisitos de seguridad y a definir expectativas adecuadas con sus proveedores y partners.