El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) publicó el jueves una guía de seguridad cibernética actualizada para administrar los riesgos en la cadena de suministro, ya que emerge cada vez más como un vector de ataque lucrativo.
“Alienta a las organizaciones a considerar las vulnerabilidades no solo de un producto terminado que están considerando usar, sino también de sus componentes, que pueden haber sido desarrollados en otro lugar, y el viaje que esos componentes tomaron para llegar a su destino”, dijo NIST en un comunicado.
La nueva directiva describe los principales controles y prácticas de seguridad que las entidades deben adoptar para identificar, evaluar y responder a los riesgos en las diferentes etapas de la cadena de suministro, incluida la posibilidad de funcionalidad maliciosa, fallas en el software de terceros, inserción de hardware falsificado y malas prácticas de fabricación y desarrollo.
El desarrollo sigue a una Orden Ejecutiva emitida por el presidente de los EE. UU. sobre » Mejorar la seguridad cibernética de la nación (14028) » en mayo pasado, que requiere que las agencias gubernamentales tomen medidas para «mejorar la seguridad y la integridad de la cadena de suministro de software, con prioridad en abordar el software crítico .»
También se produce cuando los riesgos de seguridad cibernética en la cadena de suministro han pasado a primer plano en los últimos años, en parte agravados por una ola de ataques dirigidos a software ampliamente utilizado para violar a docenas de proveedores intermedios a la vez.
Según el Panorama de amenazas de ataques a la cadena de suministro de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) , se descubrió que el 62 % de los 24 ataques documentados desde enero de 2020 hasta principios de 2021 «explotan la confianza de los clientes en su proveedor».
«Administrar la seguridad cibernética de la cadena de suministro es una necesidad que llegó para quedarse», dijo Jon Boyens del NIST y uno de los autores de la publicación. «Si su agencia u organización no ha comenzado, esta es una herramienta integral que puede llevarlo de gatear a caminar y correr, y puede ayudarlo a hacerlo de inmediato».
