Blog de WatchGuard

Asegura el software de cadena de suministro

El 82% de los profesionales consideran que la seguridad para su cadena de suministro de software debe tener cierta prioridad y tan solo un 7% declara que no supone ninguna prioridad. Esta es una de las principales conclusiones de nuestra encuesta Pulse realizada entre 298 altos cargos tecnológicos de diversas compañías de Norteamérica, Europa, África y Asia.

Complejidad de la cadena

Ocurre que las organizaciones poseen herramientas que provienen de fuentes muy diversas hoy en día. Además del software de grandes compañías como Microsoft, SAP o Salesforce, también apuestan cada vez más por aquel que proviene de proyectos Open Source. Toda esta diversidad al final les aporta ventajas, como una mayor escalabilidad y un mejor ajuste a sus necesidades de negocio específicas.  Pero como contrapartida, también genera una cadena de suministro muy compleja y esa complejidad la convierte en un vector de entrada para que se produzcan ciberataques.

Los incidentes como Solarwinds que abordamos en el blog lo han puesto de manifiesto y la empresas parecen entender la necesidad de dedicar mayores esfuerzos para evitar estos incidentes.  Sin embargo, estas buenas intenciones no coinciden con la práctica: tan solo un 51% afirma que la cadena de suministro de software está contemplada en la estrategia de ciberseguridad de la organización. Es un dato preocupante si se tiene en cuenta que un 35% de los encuestados reconoce que conoce a alguien cuya empresa fue afectada por un ciberataque de cadena de suministro.

Sesgo de amenaza y errores humanos

También existe un sesgo en cuanto la percepción del riesgo de las amenazas:  es menor para la propia organización que sobre otras, ya que el 94% de los encuestados cree que estos ciberataques aumentarán en los próximos 12 meses, pero casi un tercio (32%) cree que no va a ocurrir en la suya.

Para evitarlo, la mayoría de organizaciones (57%) utiliza herramientas SIEM, un 51% utiliza herramientas externas de ciberseguridad y detección de amenazas y algo menos de la mitad (47%) está implementando una arquitectura de red basada en un enfoque Zero-Trust.

La adopción de ese enfoque y la implantación de herramientas de detección debería ser mayor, ya que la formación en buenas prácticas de ciberseguridad para los empleados es necesaria, pero insuficiente por sí sola. Hasta los más formados pueden caer víctimas de engaños de ingeniería social si la estafa es muy personalizada o sofisticada, como ha ocurrido a veces con los llamados “fraudes del CEO”. Las organizaciones en este caso sí son conscientes de ello y por eso, el 72% cree que los errores de los empleados son el principal vector de entrada para los ciberataques de cadena de suministro.

Herramientas de ciberseguridad avanzadas

Con todo, los propios programas de terceros también son un gran vector de ataque según el 62% de las empresas y si son de Open Source, su código lo es para un 42%. Por eso, los profesionales evalúan el riesgo de instalar software de terceros mediante varias medidas. Las más citadas son las certificaciones que posee 59%, el análisis de su documentación 56% y también el uso de cuestionarios 50%. Con todo, confían en general (59%) en que las compañías de software desvelen que han sufrido un ciberataque de estas características en cuanto lo sepan.

Por último, uno de los hallazgos más relevantes de la encuesta son los responsables a los que atribuyen estos incidentes. La mitad (50%) ha indicado unas pobres prácticas de ciberseguridad como culpable, un 56% la falta de una estrategia coordinada, pero un 60% ha citado expresamente el uso de herramientas de ciberseguridad no adecuadas.

En este sentido y con los hackers con la mirada puesta en comprometer la cadena de suministro, es primordial que los MSPs cuenten con un portfolio de soluciones avanzadas para ofrecer a sus clientes y que sean fáciles de gestionar desde la nube Porque solo trabajando desde una plataforma de seguridad unificada para partners mejora la usabilidad general y los ciberataques de cadena de suministro como Solarwinds o Kaseya son mucho menos probables.