El aumento de los ataques a la cadena de suministro de software está dando lugar a la necesidad de jefes de ingeniería responsables de los productos tecnológicos. Vemos una creciente mejora en materia de seguridad por muchas organizaciones, sin embargo, siguen descuidando un gran riesgo en productos.
Con importantes ataques cibernéticos a infraestructura crítica como el ataque SolarWinds, el hackeo de las instalaciones de tratamiento de agua de Florida y la crisis de ransomware Colonial Pipeline de la costa este de EE.UU., la seguridad de los productos, y no solo los sistemas de información, realmente debe tomarse más en serio.
Si bien el CISO protege la información en la empresa, los productos necesitan un nivel equivalente de atención a los sistemas de información empresarial. Su llamado a un mayor enfoque en la seguridad de los productos se produce cuando aumentan los ataques a la cadena de suministro y los gobiernos de todo el mundo intentan lidiar con el problema de los productos que han sido manipulados que ingresan a una organización.
Productos como estos necesitan un ejecutivo de nivel C con mejores habilidades de ingeniería que las que normalmente tiene un CISO, un rol más enfocado en monitorear redes y sistemas para mantener alejados a los piratas informáticos. No se le ha exigido que incorpore seguridad en una pieza de software o dispositivo.
En algún momento, las aplicaciones se convierten en el producto y no en una simple extensión de los sistemas backend. Esto es relevante para los sectores bancario, de seguros, minorista, gubernamental y otros que ahora crean aplicaciones que diferencian el negocio de los competidores.
El riesgo de ese software comienza a ser más importante. Los atacantes son cada vez más inteligentes, como lo demuestra el ataque SolarWinds. Cuando alguien instala una puerta trasera sofisticada, no podrá detectarla con solo mirar el código.
Por esa razón, la integridad y seguridad del proceso de desarrollo de software se ha vuelto tan importante. Porque así es como se protege contra alguien que inserte una puerta trasera como en SolarWinds. Entonces, en lugar de esperar ver ese artefacto binario al final y esperar detectarlo, esa no es una buena solución para este tipo de ataque.
La solución es tener buena seguridad en todas las diferentes partes del oleoducto. Esto incluye asegurarse de que los desarrolladores que tienen permiso para modificar el código utilicen la autenticación de dos factores al acceder a un repositorio de código para actualizar el código. También, deben firmar criptográficamente todos los diferentes artefactos que se convierten en parte de la compilación final de un producto de software.
La orden ejecutiva centrada en la ciberseguridad del presidente estadounidense Joe Biden muy posiblemente tendrá un impacto positivo en cómo se maneja la ciberseguridad en el sector privado en los EE.UU.
Los requisitos para hacer negocios con el gobierno federal se adoptarán en el sector privado. Empresas de muchos sectores diferentes impulsarán esto a sus proveedores.
La orden ejecutiva, aunque solo se aplica a las agencias federales, podría tener importantes implicaciones para la infraestructura crítica clásica, así como para la banca, la atención médica y otros sectores que Estados Unidos considera de vital importancia.
Fuente: ZDNet
Para más información ingresar aquí.
Comentarios