La cadena de suministro de software siempre ha sido vulnerable: JP Morgan lo acaba de decir en voz alta

Cuando el director de seguridad de la información de JP Morgan, Patrick Opet, hizo sonar las alarmas esta semana en las empresas estadounidenses con una carta abierta a la industria para que priorizara la seguridad en la cadena de suministro de software, pocas personas escucharon algo que nunca antes habían escuchado. Lo más llamativo de la noticia fue que provenía del mayor banco estadounidense (por activos) y del banco más grande del mundo (por capitalización bursátil); y las instituciones financieras no suelen ser conocidas por sus declaraciones audaces y contundentes.

Además, la carta de Opet destaca el riesgo particular para sectores más regulados y sensibles, como las finanzas, donde el coste del fracaso puede alcanzar billones de dólares. El informe IBM 2024 Cost of a Data Breach reveló que el coste global medio de una única vulneración en el sector financiero fue de 6,08 millones de dólares, solo superado por los costes de las vulneraciones sanitarias con 9,77 millones de dólares.

"La comodidad ya no puede superar al control", dijo Opet en su publicación de LinkedIn, por lo que pidió a los proveedores de software externos, a los líderes de seguridad y a la comunidad tecnológica en general que analizaran más de cerca los "puntos únicos de fallo" que pueden provocar "consecuencias potencialmente catastróficas en todo el sistema".

Esta "comodidad" puede parecer un sistema integrado de manera fluida de datos y procesos que se actualizan sin retrasos ni interacción manual, lo que es indiscutiblemente un objetivo para las empresas. Sin embargo, como advierte Nataraj Nagaratnam, director de tecnología de seguridad e infraestructura de IA de IBM, "a medida que los agentes de IA popularizan un uso más autónomo de la IA, por ejemplo, es más importante que nunca garantizar que las medidas de seguridad empresarial coincidan con el riesgo que conllevan estas innovaciones".

Nagaratnam habló con IBM Think desde el recinto del evento RSA en San Francisco, donde se unió a 40 000 profesionales de la seguridad en uno de los mayores eventos de ciberseguridad del año. La carta de Opet fue el tema del momento, generando debate y reconociendo que esto era un llamamiento a la creación de estándares en toda la industria y una forma de medir su adhesión.

En estos primeros días, el jurado está deliberando sobre cuáles deberían ser exactamente estas normas y medidas. Pero las apuestas no podrían ser mayores. Un ejemplo: el ataque de ransomware contra el proveedor de software CDK Global, que proporciona servicios de software a los sectores del automóvil, costó a los concesionarios de automóviles más de mil millones de dólares en conjunto, según una estimación de Anderson Economic Group, una consultora de East Lansing, MI. En palabras de Opet: "La búsqueda de cuota de mercado a expensas de la seguridad expone ecosistemas enteros de clientes a un riesgo significativo y dará lugar a una situación insostenible para el sistema económico".

¿Qué podemos sacar inmediatamente de esto? Los expertos de IBM escucharon tres llamadas a la acción de la carta de Opet y el debate circundante:

1. Seguro por diseño: la seguridad no puede ser una idea tardía. "Los proveedores deben volver a priorizar urgentemente la seguridad, colocándola igual o por encima del lanzamiento de nuevos productos", escribió Opet. Mark Hughes, socio director global de servicios de ciberseguridad de IBM, presagiaba ese sentimiento en un informe reciente sobre ciberseguridad: "Las empresas deben alejarse de una mentalidad de prevención ad hoc y centrarse en medidas proactivas como modernizar la gestión de la autenticación, tapar los agujeros de autenticación multifactor y realizar una búsqueda de amenazas en tiempo real para descubrir amenazas ocultas antes de que expongan datos confidenciales". En una publicación de LinkedIn en respuesta a la carta de Opet, Hughes insta a las empresas a dirección las brechas en la Tecnología y el gobierno de datos "antes de que se conviertan en puntos de entrada de riesgos".
2. Controles estandarizados: SaaS y otros proveedores externos deben adoptar y heredar controles estandarizados, afirma Dinesh Nagarajan de IBM, socio de IBM Consulting for Data & AI, Quantum Safe y Application Security Services. Pero no basta con idear una forma estándar de medir a los proveedores de software, añade, es esencial monitorizar "si cumplen con los mandatos o controles requeridos". IBM ha ayudado a desarrollar controles para la nube a nivel sectorial, así como ha trabajado con organismos del sector, como la Alianza de Seguridad en la Nube, para desarrollar controles en la nube para las instituciones financieras en particular. Basándose en ese trabajo, IBM amplió este enfoque para el uso de IA generativa por parte de instituciones financieras, en coautoría con diez bancos de varios continentes.
3. Gobernanza en la cadena de suministro: Las Organizaciones y las empresas deben adoptar un enfoque holístico para gobernar y gestionar de forma proactiva su seguridad y supervisar continuamente su cumplimiento, afirma Nagaratnam. Una forma de hacerlo es que las Organizaciones desarrollen y ejecuten sus propias guías de estrategias de ciberseguridad, tratando de identificar las exposiciones, evaluar los riesgos y mitigar los impactos de los incidentes. Estas guías de estrategias de respuesta a incidentes también necesitan dar cuenta de quién es responsable de acciones específicas, como qué parte es responsable (y potencialmente responsable) de asegurar una solución de IA generativa ofrecida por un tercero. La dependencia de componentes de terceros requiere una supervisión y un control estrictos, así como la comprensión de una responsabilidad compartida, de forma que los proveedores sean responsables de asegurar toda la pila de software, no solo su parte.

Además, casi todas las semanas aparecen nuevas herramientas del sector para ayudar a las empresas con la gobernanza y el cumplimiento. Ayer mismo, por ejemplo, Credo AI, una plataforma de gobierno de la IA, e IBM colaboraron para lanzar el watsonx.governance Compliance Accelerator, que ayuda a los propietarios de casos de uso de IA y a los responsables de cumplimiento a cumplir con diversas normativas de forma más rápida y automatizada.

Hacer que los líderes empresariales individuales rindan cuentas por la tecnología que utilizan ayudaría mucho a mejorar la seguridad, afirma Nagarajan de IBM. "Cuando se responsabiliza a los líderes empresariales de la tecnología que utilizan, cómo se gestiona, con qué propósito, cómo se mantiene segura, mejora automáticamente la seguridad".