Software seguro: proveedores de terceros su riesgo de primera parte

Esteban Prieto

General

En 1965, el innovador libro de Ralph Nader Inseguro a cualquier velocidad Expuso cómo los fabricantes de automóviles priorizaron el estilo, el rendimiento y las ganancias sobre la seguridad de los conductores y pasajeros. Su narración estimuló la indignación pública y los cambios radicales catalizados, incluida la adopción generalizada de los cinturones de seguridad y otras innovaciones de seguridad. Como el ex director de la CISA, Jen Easterly, señaló a principios de este año, hoy nos encontramos en un punto de inflexión similar en el dominio de desarrollo de software.

Prioridad de velocidad y características del producto, el desarrollo de software seguro a menudo se trata como una ocurrencia tardía. Las amenazas cibernéticas se están volviendo más sofisticadas, y si las organizaciones no exigen una introducción temprana y una mejor integración de las medidas de seguridad de sus proveedores de software, podrían enfrentar graves consecuencias.

Proveedores de terceros su riesgo de primera parte

Las organizaciones hoy dependen cada vez más del software como un servicio (SaaS), incrustándolo profundamente en su infraestructura y operaciones comerciales porque es más barato y más eficiente. Aunque estas soluciones ofrecen escalabilidad y eficiencia, también introducen un riesgo significativo. Sin embargo, ahora vivimos en una era dominada por la inteligencia artificial (IA) donde se están evitando los límites de seguridad tradicionales. Dada la gran cantidad de datos intercambiados entre los sistemas y los numerosos actores involucrados en la cadena de suministro, el impacto de un incidente cibernético relacionado con las fallas de desarrollo de software ahora es mayor que nunca.

La escala y la complejidad de los datos que requieren protección se han disparado, como AI ahora genera, agregue y comparte grandes cantidades de datos entre organizaciones y terceros.

Más contenido para leer:  Los contratistas se enfurecen mientras continúan las consecuencias del ciberataque general

El informe de Investigaciones de violaciones de datos de 2024 de Verizon revela que el 15% de las infracciones involucraron a un tercero o proveedor, como cadenas de suministro de software, infraestructuras de socios de alojamiento o custodios de datos. Este número ha aumentado año tras año, y destaca la necesidad urgente de que las organizaciones repensen su enfoque para la gestión de riesgos de terceros.

Uno de los mayores errores que cometen las empresas en las evaluaciones de proveedores se centra únicamente en el cumplimiento de la seguridad de los proveedores en lugar de la seguridad del producto. Muchas organizaciones envían largos cuestionarios a los proveedores sobre su Sistema de Gestión de Seguridad de la Información (ISMS), pero no logran analizar su aplicación y seguridad de productos. Las certificaciones y las certificaciones de cumplimiento, como ISO 27001, SOC 2, PCI DSS y GDPR, a menudo se consideran de referencia de seguridad, pero no necesariamente garantizan prácticas continuas de desarrollo de software seguros continuos.

Algunos proveedores pueden contener estas certificaciones; Sin embargo, ciertos productos de su cartera pueden quedar fuera del alcance de estos estándares y marcos de seguridad. Si se pasa por alto, este punto ciego puede conducir a riesgos de seguridad significativos. Una organización puede asumir que un proveedor certificado tiene medidas de seguridad sólidas, solo para descubrir más tarde que el producto específico que están utilizando carece de controles de seguridad fundamentales.

Demanda mejor de sus proveedores

Para resistir los ataques de la cadena de suministro y mitigar los riesgos asociados, las organizaciones deben impulsar a sus proveedores a priorizar el desarrollo seguro de software. Esto significa requerir que los proveedores demuestren no solo el cumplimiento de la seguridad, sino también una certificación y un compromiso claros para asegurar las prácticas de desarrollo. Aquí hay algunas iniciativas clave que las organizaciones deben implementar para crear un programa de evaluación de terceros efectivo:

  1. Ampliar evaluaciones de seguridad del proveedor tradicional: Vaya más allá de los cuestionarios básicos de ciberseguridad y desafíe a los proveedores en sus medidas de seguridad y seguridad de productos. Adapte el programa a los requisitos y dinámicas específicas de su organización, y considere incorporar preguntas relacionadas con tecnologías emergentes como la IA.
  2. Asegurar prácticas seguras del ciclo de vida del desarrollo de software (SDLC): Requieren que los proveedores proporcionen evidencia de que la seguridad se incorpora en cada fase del desarrollo, desde el diseño hasta la implementación.
  3. Cambiar la gestión de riesgos de terceros de dominio a control: La gestión de riesgos de terceros se trata de gestión de riesgos comerciales, no solo los riesgos de seguridad. En esencia, es un problema de datos. Por lo tanto, las organizaciones deben involucrar a los propietarios de datos y las partes interesadas relevantes en el proceso y educarlos sobre los riesgos asociados en términos comerciales claros.
  4. Transparencia de la demanda: Obtenga visibilidad de los controles de seguridad aplicados a los productos de software, en lugar de depender únicamente de las certificaciones de cumplimiento.
  5. Realizar evaluación continua de riesgos de terceros: Controle continuamente a los proveedores de terceros, a medida que evolucionan los riesgos de seguridad con el tiempo.
  6. Adoptar una mentalidad de confianza cero: Suponga que cada conexión de terceros podría ser un riesgo potencial y hacer cumplir los controles de acceso estrictos, cuando sea posible.
Más contenido para leer:  Cyber experts set out plan to secure crucial 2024 US election

El panorama digital de 2025 requiere un cambio fundamental en la forma en que abordamos la seguridad del software. Así como los cinturones de seguridad y los estándares de seguridad revolucionaron la industria del automóvil, las prácticas de seguridad sólidas deben convertirse en la norma en el desarrollo de software.

Las organizaciones deben reconocer que el riesgo de terceros es su propio riesgo. Ya no es suficiente confiar en las garantías de los proveedores o las casillas de verificación de cumplimiento. En cambio, las empresas deben adoptar una postura proactiva exigiendo transparencia, aplicando estándares de seguridad rigurosos y garantizar que el desarrollo seguro sea una prioridad desde el suelo. Si no impulsamos a los proveedores para que se desarrollen de forma segura, las consecuencias serán de gran alcance, lo que afectará no solo a las empresas individuales sino a todo el ecosistema digital.

Ejona Preçi es miembro y voluntaria de ISACA, y una líder cibernética de larga data. Trabaja como Global CISO en Lindal Group, una fabricante de productos de envasado con sede en Hamburgo, y también es presidenta de Mujeres en Ciberseguridad (Wicys) Alemania. Ejona está comprometida con la diversidad y la inclusión en la seguridad, y espera dar forma a un futuro donde la inteligencia artificial (IA) y las soluciones de seguridad cibernética priorizan la equidad, la responsabilidad y el bienestar social, cerrando la brecha entre la innovación y la ética. Esta es su primera contribución al grupo de expertos de seguridad semanal de la computadora.

La gama de tabletas Samsung Galaxy Tab S10 Fe podría presentar una gran actualización

Apple Intelligence llega a Apple Vision Pro, pero no lo compro

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

Servicios

Acerca de Nosotros

Servicios

Equipo

Contacto

Marketing Digital

Seo services

Recursos

Publicar Clasificados

Buscar Clasificados

Terminos y Condiciones

Politica de Privacidad

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales