La cadena de suministro de software siempre fue vulnerable: JP Morgan lo dijo en voz alta

Cuando el director de seguridad de la información de JP Morgan, Patrick Opet, hizo sonar las alarmas esta semana en las empresas estadounidenses con una carta abierta a la industria para priorizar la seguridad en la cadena de suministro de software, pocas personas escucharon algo que nunca antes habían escuchado. Lo más sorprendente de la noticia fue que procedía del banco más grande de Estados Unidos (por activos) y del banco más grande del mundo (por capitalización bursátil), y las instituciones financieras no suelen ser conocidas por sus declaraciones audaces y rotundas.

Además, la carta de Opet destaca el riesgo particular para sectores más regulados y sensibles, como las finanzas, donde el costo de la quiebra puede alcanzar billones de dólares. El informe del costo de una filtración de datos de IBM 2024 encontró que el costo medio global de una sola filtración en la industria financiera fue de 6.08 millones USD, solo superado por el costo de las filtraciones en la industria de la salud a 9.77 millones USD.

“La conveniencia ya no puede superar al control”, dijo Opet en su publicación de LinkedIn, por lo que pidió a los proveedores de software de terceros, líderes de seguridad y a la comunidad tecnológica en general que analicemos más de cerca los “puntos únicos de falla” que pueden llevar a “consecuencias potencialmente catastróficas en todo el sistema”.

Esta “conveniencia” puede parecer un sistema perfectamente integrado de datos y procesos que se actualizan sin retrasos ni interacción manual, lo cual es indiscutiblemente un objetivo para las empresas. Sin embargo, como advierte Nataraj Nagaratnam, Director de tecnología de IBM para la seguridad e infraestructura de IA, “a medida que los agentes de IA popularizan un uso más autónomo de la IA, por ejemplo, es más importante que nunca garantizar que las medidas de seguridad empresarial coincidan con el riesgo que conllevan estas innovaciones”.

Nagaratnam habló con IBM Think desde el recinto del evento RSA en Santo Francisco, donde se unió a 40 000 profesionales de la seguridad en uno de los mayores eventos de ciberseguridad del año. La carta de Opet fue el tema del día, generando debate y un reconocimiento de que se trataba de un llamado a las armas para crear estándares en toda la industria y una forma de medir el cumplimiento de ellos.

En estos primeros días, el jurado está deliberando sobre cuáles deberían ser exactamente estos estándares y medidas. Pero lo que está en juego no podría ser más importante. Un ejemplo: el ataque de ransomware al proveedor de software CDK Global, que ofrece servicios de software a las industrias del automóvil, costó a los concesionarios de autos más de 1.000 millones de dólares en conjunto, según una estimación de Anderson Economic Group, una consultora de East Lansing, MI. Como dijo Opet: "La búsqueda de participación en el mercado a expensas de la seguridad expone a ecosistemas de clientes completos a un riesgo significativo y dará como resultado una situación insostenible para el sistema económico".

¿Qué podemos sacar inmediatamente de esto? Los expertos de IBM escucharon tres llamadas a la acción de la carta de Opet y el debate circundante:

1. Seguro por diseño: la seguridad no puede ser una ocurrencia tardía. "Los proveedores deben volver a priorizar urgentemente la seguridad, colocándola igual o por encima del lanzamiento de nuevos productos", escribió Opet. Mark Hughes, socio gerente global de servicios de ciberseguridad de IBM, presagió ese sentimiento en un informe reciente sobre ciberseguridad: "Las empresas deben alejarse de una mentalidad de prevención ad hoc y centrarse en medidas proactivas, como modernizar la gestión de autenticación, tapar los agujeros de autenticación multifactor y realizar una caza de amenazas en tiempo real para descubrir amenazas ocultas antes de que expongan datos confidenciales”. En una publicación de LinkedIn en respuesta a la carta de Opet, Hughes insta a las empresas a abordar las brechas en la tecnología y la gobernanza de datos "antes de que se conviertan en puntos de entrada de riesgos".
2. Controles estandarizados: SaaS y otros proveedores externos deben adoptar y heredar controles estandarizados, dice Dinesh Nagarajan de IBM, socio de IBM Consulting para Datos y IA, de seguridad cuántica y Servicios de seguridad de aplicación. Pero no es suficiente idear una forma estándar de medir a los proveedores de software, agrega, es esencial monitorear "si están cumpliendo con los mandatos o controles requeridos". IBM ha contribuido al desarrollo de controles para la nube, en todo el sector y ha colaborado con organismos industriales como la Cloud Security Alliance para desarrollar controles en la nube específicos para instituciones financieras. A partir de ese trabajo, IBM amplió este enfoque para el uso de la IA generativa por parte de las instituciones financieras, en colaboración con diez bancos de varios continentes.
3. Gobernanza en toda la cadena de suministro: los proveedores de SaaS y las empresas deben adoptar un enfoque holístico para gobernar y gestionar de forma proactiva su seguridad y supervisar continuamente su cumplimiento, afirma Nagaratnam. Una forma de hacerlo es que las organizaciones desarrollen y ejecuten sus propios playbooks de ciberseguridad, con el fin de identificar las exposiciones, evaluar los riesgos y mitigar el impacto de los incidentes. Estos playbooks de respuesta a incidentes también deben tener en cuenta quién es responsable de acciones específicas, como qué parte es responsable (y potencialmente responsable) de garantizar la seguridad de una solución de IA generativa ofrecida por un tercero. La dependencia de componentes de terceros requiere una supervisión y un control estrictos, así como la comprensión de una responsabilidad compartida, de modo que los proveedores sean responsables de garantizar la seguridad de toda la pila de software, y no solo de su parte.

También aparecen casi cada semana nuevas herramientas de las industrias para ayudar a las compañías con la gobernanza y el cumplimiento normativo. Ayer mismo, por ejemplo, Credo AI, una plataforma de Gobernanza de la IA, e IBM colaboraron para lanzar watsonx.governance Compliance Accelerator, que ayuda a los propietarios de caso de uso de IA y a los oficiales de cumplimiento a cumplir con diversas regulaciones de una manera más rápida y automatizada.

Hacer que los líderes empresariales individuales sean responsables de la tecnología que utilizan contribuiría en gran medida a mejorar la seguridad, dice Nagarajan de IBM. "Cuando responsabiliza a los líderes empresariales por la tecnología que utilizan, cómo se gestiona, con qué propósito, cómo se mantiene segura, eso mejorará automáticamente la seguridad".