¿El software de terceros lo hace vulnerable a los ciberataques?

Cuando las empresas compran software, suelen dar por sentado que es seguro, pero no deberían. Las vulnerabilidades en la cadena de suministro digital son responsabilidad tanto de los desarrolladores como de los proveedores y los clientes, pero ahora mismo la ciberseguridad no es una prioridad para ninguna de las partes. Hay dos errores de cálculo clave relacionados con esto: primero, que la ciberseguridad no contribuye directamente a los ingresos y, segundo, que la ciberseguridad es una función que se puede añadir fácilmente más adelante en el proyecto, según sea necesario. Los líderes pueden abordar este problema haciendo de la seguridad un argumento de venta (o compra), utilizándola para motivar a los desarrolladores, enseñando a sus desarrolladores sobre los riesgos de seguridad y ayudando a los proveedores a priorizar la seguridad.

••• Cuando las empresas compran productos digitales, esperan que estén seguros. En la mayoría de los casos, no realizan pruebas para detectar vulnerabilidades en la cadena de suministro digital y ni siquiera tienen los procesos o las herramientas adecuados para hacerlo. Los piratas informáticos han tomado nota y van en aumento los incidentes de ciberataques a la cadena de suministro, que aprovechan las debilidades de la cadena de suministro digital para entrar en las redes internas de las organizaciones. Como resultado, ha habido muchos incidentes titulares que no solo avergüenzan a las empresas implicadas, sino que también aumentan la visibilidad de estas amenazas para los altos ejecutivos que quieren saber que sus ofertas son seguras. Los líderes necesitan nuevas formas de reducir los riesgos de ciberseguridad de la cadena de suministro, ya sea que compren productos digitales o los produzcan. Las vulnerabilidades de la cadena de suministro han provocado algunos de los ciberataques más dramáticos de los últimos años. Durante el[Ciberataque de NotPetya en 2017](https://www.enisa.europa.eu/publications/info-notes/supply-chain-attacks), las centrales eléctricas, los bancos, los sistemas de metro y la mayor empresa de transporte de contenedores del mundo fueron solo algunas de las víctimas del malware introducido mediante el proceso de actualización de un paquete de software de contabilidad que utilizan habitualmente las empresas de Ucrania. Luego, el malware se propagó a otros sistemas de la red de cada empresa y provocó que sus sistemas se bloquearan. Más recientemente, en el [Ataque de SolarWinds](https://www.wsj.com/articles/more-side-door-hacks-are-coming-here-is-how-businesses-can-prepare-11614096250) a principios de 2021, los piratas informáticos agregaron malware al software después de que se certificara que estaba preparado para los clientes. En ambos casos (y en muchos más), actores nefastos utilizaron vulnerabilidades en la forma en que los proveedores se conectaban a los sistemas y establecieron puertas traseras que podían utilizarse más tarde para robar propiedad intelectual o información financiera o instalar malware que se propagaría por los sistemas de los clientes. A menudo, la cultura empresarial es la fuerza impulsora de las vulnerabilidades. Si cree que no corre el riesgo de sufrir este tipo de ataques porque su empresa no tiene información o conexiones que los piratas informáticos puedan explotar, sus vendedores le han asegurado que sus sistemas son seguros, sus clientes han validado que sus sistemas son aceptables o no ha descubierto vulnerabilidades, usted es exactamente el objetivo que buscan los piratas informáticos cuando perpetúan el próximo ataque. Comprender cómo su cadena de suministro podría ser un objetivo es el primer paso y desarrollar los procesos y la mentalidad para[proteja y defienda su cadena de suministro](http://web.mit.edu/smadnick/www/wp/2019-04.pdf) es el segundo paso. Nuestro trabajo en[crear una cultura de ciberseguridad](https://scholarspace.manoa.hawaii.edu/handle/10125/60074) ofrece a las empresas un modelo de desarrollo de productos ciberseguros. Más recientemente, estudiamos tres grandes y conocidas empresas mundiales y analizamos tanto la cultura de ciberseguridad de sus equipos de desarrollo de productos como la gestión de la seguridad de su cadena de suministro digital. Le preguntamos cómo, como proveedor, llegan a entender las necesidades de ciberseguridad de sus clientes y, como clientes, cómo gestionan los riesgos que provienen de proveedores externos. Los datos muestran que los directivos suelen caer víctimas de mentalidades contraproducentes y posiblemente peligrosas que se interponen en la seguridad de las cadenas de suministro y dejan a sus empresas expuestas, y que a menudo siguen el ejemplo de la cúpula. ## No se da prioridad a la ciberseguridad Todos los directores y desarrolladores entrevistados dijeron que la ciberseguridad era importante y que debía diseñarse en los productos; los clientes lo esperaban y los proveedores pensaban que debían ofrecerla. Aun así, ninguna de las partes tomó las medidas adecuadas para lograrlo. Esto se debe a que los productos se compran normalmente por las funciones de valor añadido que ofrecen, no porque sean seguros. Hay dos errores de cálculo clave relacionados con esta perspectiva: primero, que la ciberseguridad no contribuye directamente a los ingresos y, segundo, que la ciberseguridad es una función que se puede añadir fácilmente más adelante en el proyecto, según sea necesario. En la práctica, ambas significan que la ciberseguridad se prioriza por encima de otras funciones generadoras de ingresos y es probable que se añada más adelante en el proceso de desarrollo del producto, a medida que los clientes descubran las vulnerabilidades mediante las pruebas o, lo que es peor, cuando las ofertas llegan al mercado. ### **Una ciberseguridad mediocre puede perjudicar sus ingresos.** Algunos ejecutivos con los que hablamos creen que los clientes no pagarán más por la ciberseguridad, a pesar de reconocer su importancia. Lo compararon con los neumáticos de un coche recién comprado: todo el mundo espera que un coche venga con neumáticos y no esperan pagar más porque tiene neumáticos. Como resultado, las empresas priorizan los puntos de venta, como los conjuntos de funciones y la rapidez de comercialización, que se considera que crean valor para los clientes, dejando la seguridad como una consideración secundaria. De hecho, los diseñadores de nuestro estudio —ellos mismos clientes de las herramientas y bibliotecas que utilizan en sus diseños de productos— priorizaron la funcionalidad por encima de la seguridad en los componentes que utilizaron. Sin embargo, estamos viendo pruebas de que los clientes están empezando a darse cuenta de que la ciberseguridad no siempre está garantizada y cada vez la convierten en una prioridad. El incumplimiento de las expectativas puede perjudicar a sus resultados: como descubrió una empresa que estudiamos, una ciberseguridad insuficiente en la oferta digital impide las conversaciones con los clientes. Los clientes corporativos están empezando a investigar más detenidamente sus compras de software. Algunos piden explícitamente la ciberseguridad en las ofertas que compran, solicitan pruebas de que la cadena de suministro utilizada para crear estas compras también ha priorizado la seguridad o insisten en que los vendedores rellenen complicados cuestionarios de seguridad. Otros incluyen pruebas de seguridad independientes como parte de su proceso de aceptación. Para clientes como las organizaciones de infraestructuras críticas, el ejército y los servicios financieros, validar la ciberseguridad de las ofertas ya es _de hecho_ estándar. Incluso para las ofertas con funciones únicas deseables en el mercado, a menudo es necesario reforzar la ciberseguridad antes de su adopción. De hecho, la ciberseguridad está cada vez más integrada en los contratos para hacer que los proveedores rindan cuentas por los riesgos de ciberseguridad de sus productos y, por extensión, en la cadena de suministro utilizada para crear estos productos. En otras palabras, si bien la funcionalidad sigue vendiendo productos, la laxitud de la seguridad se está convirtiendo rápidamente en algo imposible. ### **La ciberseguridad no es fácil de añadir más adelante.** A pesar de hablar de boquilla sobre la seguridad, muchos procesos de desarrollo de software no priorizan la seguridad en la fase de concepción. En cambio, se tiene en cuenta la seguridad cuando se descubren las vulnerabilidades, y eso puede resultar caro. Un enfoque más preocupante que compartimos con nosotros fue que, a veces, los líderes pensaban que tenían que lanzar un producto rápidamente, aunque fuera vulnerable, para seguir siendo viable en el mercado. Decidieron lanzar ofertas con problemas de seguridad conocidos o con soluciones y soluciones temporales para lanzar el producto al mercado. El riesgo de que se aproveche la vulnerabilidad se considera bajo, pero el coste de solucionarlo más adelante puede ser muy alto. Si bien esta podría ser una buena manera de aprovechar las oportunidades de sincronización del mercado, significa que los clientes y sus clientes tienen que gestionar una vulnerabilidad en su cadena de suministro. Pero la ciberseguridad como idea de último momento no es fácil ni barata. Más a menudo era caro, si es que era posible, adaptar la ciberseguridad a las ofertas. La ciberseguridad como idea de último momento introdujo gastos adicionales, retrasos y, potencialmente, rediseños completos. Un directivo compartió la experiencia de encontrar una vulnerabilidad y, luego, tener que rediseñar toda la oferta. No había una solución sencilla. Y una vez que se completó el nuevo diseño, la oferta dejó de ser económicamente viable para el mercado previsto. ## **Cómo los líderes pueden proteger su cadena de suministro** Para reforzar nuestras cadenas de suministro, los líderes deben abordar directamente estas mentalidades engañosas. Un problema persistente en lo profundo de la cadena de suministro puede generar costes y amenazas para toda la cadena de suministro. Los líderes tienen la responsabilidad de erradicar los problemas de seguridad y eliminar las vulnerabilidades para que la cadena de suministro pueda contar con ofertas de ciberseguridad, incluso cuando los clientes no las soliciten directamente. Estas son cuatro cosas que puede hacer hoy para reforzar su oferta y la cadena de suministro en su conjunto: **Haga de la seguridad un argumento de venta**. Promocione sus ofertas como «diseñadas y creadas teniendo en cuenta la ciberseguridad». El uso de la ciberseguridad como argumento de venta envía un mensaje poderoso a sus clientes: que sus ofertas son mejores que las que no incluyen la ciberseguridad en el diseño y, quizás lo que es más importante, para sus equipos de productos de que los líderes se toman la ciberseguridad muy en serio. Los clientes se centran cada vez más en la seguridad de sus ofertas y usted puede adelantarse a las tendencias convirtiéndola en una función. Además, incluir la seguridad en los materiales de marketing también influye en sus equipos de diseño y contribuiría en gran medida a crear una actitud sobre la importancia de la seguridad a la hora de ofrecer diseños realizados por desarrolladores. **Motivar a los desarrolladores a priorizar la seguridad**. Asegúrese de que los diseñadores del producto conozcan bien los requisitos de ciberseguridad de sus clientes. En nuestra investigación, nos enteramos a menudo de que los diseñadores nunca se habían conocido ni sabían exactamente lo que el cliente quería desde el punto de vista de la seguridad. Confiaban en los propietarios de los productos (a menudo de un área diferente de la empresa, como el marketing) para comunicar lo que necesitaban. Es fácil para los desarrolladores dejar de lado las preocupaciones y necesidades de los clientes. Cuando los clientes hablen explícitamente sobre los requisitos de ciberseguridad con los equipos de desarrollo, los desarrolladores se darán cuenta y este reconocimiento los motivará. Otra forma de motivar a los desarrolladores a priorizar la seguridad es hacer de la seguridad una prioridad bien conocida de los ejecutivos. Una vez que los miembros del equipo saben que es importante para sus líderes, pasa a ser importante para ellos. **Enseñe a los desarrolladores de productos los riesgos de seguridad**. Muchos desarrolladores de productos, especialmente los más veteranos, se incorporaron al campo cuando la ciberseguridad no era una amenaza tan grave como ahora. Este es un mundo nuevo para ellos. Puede que necesite formar a los diseñadores de productos para que hagan las concesiones correctas en materia de ciberseguridad a la hora de diseñar ofertas digitales. No necesitan ser expertos en ciberseguridad, pero los equipos de desarrollo de productos necesitan experiencia en ciberseguridad en varios niveles. Dado que los diseñadores de productos están ahí al concebir la oferta, tienen que saber y creer que su trabajo es hacer concesiones básicas que creen ofertas ciberseguras. Para ello, necesitan conocimientos básicos de seguridad relevantes para sus ofertas y, luego, necesitan una experiencia más profunda que esté disponible en su equipo. **Ayude a sus vendedores a priorizar su seguridad y la seguridad de su cadena de suministro****.** Pregunte a sus vendedores sobre la seguridad de sus ofertas y su cadena de suministro. Examínelos en función de su postura, cultura y priorización en materia de ciberseguridad. Demuéstreles que es importante para usted. Hacer que completen cuestionarios extensos es una forma, pero más impactante es un diálogo continuo sobre las prioridades de seguridad entre los ejecutivos, el marketing, los propietarios de los productos y, por supuesto, los desarrolladores. Cuando los desarrolladores seleccionan a los proveedores, necesitan saber qué proveedores son de confianza y hacer de la seguridad una prioridad. Al hacer de la ciberseguridad una prioridad para hacer negocios con su empresa, demuestra su compromiso con sus clientes y con toda su cadena de suministro. La confiabilidad es una parte cada vez más importante de las marcas corporativas en la era digital. Ser de confianza significa que los clientes creen que sus productos no solo harán lo que usted dice que harán, sino que lo harán de forma cibersegura. La confianza significa que sus ofertas no pondrán en peligro la reputación de sus clientes debido a una vulnerabilidad de ciberseguridad. Nadie quiere ser el próximo titular sobre la explotación insegura de una vulnerabilidad en la cadena de suministro. Los líderes tienen una función especial a la hora de garantizar que la cadena de suministro sea lo más segura posible, incluidas las ofertas digitales que desarrollan como proveedores y que utilizan como clientes. **_Reconocimiento_** _: Esta investigación se financió, en parte, con fondos de los miembros del consorcio Cybersecurity at MIT Sloan (CAMS). Todos los autores contribuyeron por igual a este artículo._