Asegurando la cadena de suministro de software para la Ley de Ciberresiliencia

21 Abril 2025
| No hay comentarios
Asegurar la cadena de suministro de software bajo la Ley de Ciberresiliencia
Anzeige

Compartir publicación

En los últimos años, los líderes de seguridad informática y sus equipos han tenido que lidiar cada vez más con los riesgos cibernéticos asociados con las cadenas de suministro de software de sus proveedores y socios.

Los ciberdelincuentes utilizan cada vez más las vulnerabilidades en los procesos de desarrollo, los componentes de código abierto y las integraciones de terceros como parte integral de sus vectores de ataque. Según una encuesta de Bitkom del año pasado, en 2024, el 13 por ciento de los tomadores de decisiones de TI encuestados sabían que al menos uno de los proveedores de la cadena de suministro de su empresa había sido víctima de un incidente de ciberseguridad al menos una vez en los últimos 12 meses. Otro 13 por ciento lo sospechaba y el 21 por ciento no podía descartarlo.

Anzeige

Ley de Ciberresiliencia y cadenas de suministro de software

Para abordar el creciente riesgo en la cadena de suministro de software, en los últimos años se han lanzado y aprobado numerosas iniciativas legislativas en Europa. Sólo recuerda NIS2 y DORA. Recientemente, el 11 de diciembre, se agregó otra pieza legislativa: la Ley de Resiliencia Cibernética (CRA). Se aplica a todo el software, firmware y dispositivos conectados destinados a ser vendidos o utilizados en la UE. Obliga a los fabricantes a garantizar la seguridad necesaria de sus productos de hardware y software y a hacerlo de forma transparente. Esto debería permitir a los compradores tomar decisiones de compra más informadas e incorporar la cuestión de la seguridad con mayor fuerza en sus consideraciones.

Los proveedores deben cumplir con los primeros requisitos de la CRA a partir del 11 de septiembre de 2026 y la mayoría a partir del 11 de diciembre de 2027. Con respecto a la seguridad de la cadena de suministro, la CRA establece requisitos relacionados con la evaluación y gestión de riesgos, las medidas de seguridad durante el desarrollo del producto, la seguridad de las configuraciones predeterminadas del producto, la lista de materiales del software (SBOM) y la evaluación de la conformidad.

Anzeige

Asegure la cadena de suministro de software desde el principio

Dado que, naturalmente, llevará algún tiempo adaptar los procesos internos a los nuevos requisitos de cumplimiento y establecer las estructuras de informes adecuadas, solo se puede recomendar a los responsables de la toma de decisiones de TI y a los equipos de seguridad que comiencen lo antes posible; idealmente, ahora. Deberían centrarse en tres puntos en particular: proteger toda la cadena de herramientas de DevOps, garantizar la autenticidad del software y establecer medidas para aumentar la transparencia.

  • Seguridad durante todo el ciclo de desarrollo Apostar una vez – La cadena de herramientas DevOps debe estar equipada con mecanismos de protección criptográfica robustos.
  • Sgarantizar la autenticidad del software – Todos los componentes del software deben ser autenticados y verificados durante todo el ciclo de desarrollo. Las identidades de los desarrolladores, las aplicaciones y los componentes de infraestructura deben ser verificables.
  • Mejorar la transparencia y la trazabilidad – Para obtener una visión completa y una descripción general de la procedencia del software, se debe acceder a metadatos como la Lista de materiales del software (SBOM).

Todo esto se puede implementar de forma más efectiva y eficiente con una solución de firma de código moderna. Esto se debe a que se pueden integrar fácilmente en herramientas CI/CD, sin complicar ni siquiera interrumpir los flujos de trabajo de TI ni los procesos de compilación. De esta forma, es posible supervisar eficazmente el código durante todo su ciclo de desarrollo y protegerlo de cambios no autorizados y malware, en tiempo real. Además, la aplicación de políticas de seguridad se puede automatizar en gran medida, lo que alivia mucho trabajo de sus propios equipos de seguridad. Equipada con una herramienta de este tipo, cada empresa debería poder monitorear y gestionar los riesgos de sus propias cadenas de suministro de software antes de la fecha límite de la CRA del 11 de diciembre de 2027. (Jiannis Papadakis, Director de Ingeniería de Soluciones en Keyfactor).

Más en Keyfactor.com

 

Acerca de los factores clave

Keyfactor lleva la confianza digital al mundo hiperconectado con seguridad basada en identidad para humanos y máquinas. Al simplificar la PKI, automatizar la gestión del ciclo de vida de los certificados y proteger cada dispositivo, carga de trabajo y objeto, Keyfactor ayuda a las organizaciones a construir y mantener rápidamente una confianza digital escalable. En un mundo de confianza cero, cada máquina necesita una identidad y cada identidad debe ser gestionada.

Artículos relacionados con el tema

Más de 130.000 filtraciones de datos en Europa en 2024

En 15 países europeos, en 2024 se produjeron más de 365 violaciones de protección de datos cada día, según los resultados de un análisis reciente. En Alemania ➡ Leer más

Ataques DDoS: el medio más importante de guerra cibernética

En la segunda mitad de 2024, hubo al menos 8.911.312 ataques DDoS en todo el mundo, según los resultados de un reciente Informe de inteligencia de amenazas DDoS. ➡ Leer más

Ciberdelincuencia: el movimiento clandestino rusoparlante lidera

Un nuevo informe de investigación ofrece una visión exhaustiva del mundo cibernético clandestino de habla rusa. Este ecosistema ha tenido un impacto significativo en el cibercrimen global en los últimos tiempos. ➡ Leer más

Ley de Ciberresiliencia: Las empresas deben actuar ahora

La Ley de Resiliencia Cibernética (CRA) está avanzando a grandes pasos. Para los fabricantes, esto significa que los dispositivos con vulnerabilidades de seguridad explotables pronto ya no estarán disponibles. ➡ Leer más

El uso de herramientas de IA/ML aumentó en un 3000 por ciento

Las herramientas de IA/ML son populares, según los resultados de un informe reciente sobre amenazas. Sin embargo, un uso creciente también conlleva riesgos de seguridad. Ciberdelincuentes ➡ Leer más

Vishing: los delincuentes recurren a ataques de phishing de voz

Utilizando deepfakes creados por IA, los ciberdelincuentes imitan voces confiables. El vishing se ha disparado en la segunda mitad de 2024, según los resultados de un ➡ Leer más

Ciberseguridad: Comprobación automática de dispositivos conectados

Los proveedores y usuarios ahora pueden administrar fácilmente la ciberseguridad y el cumplimiento del software en sus dispositivos, máquinas y sistemas en red. ➡ Leer más

Índice de confianza digital: la confianza en los servicios digitales está disminuyendo

La confianza digital o el miedo a una filtración de datos influyen en si los consumidores recurren a las marcas o las abandonan, según los resultados ➡ Leer más

 

Stories
, , , ,