NIST actualiza la guía para defenderse de los ataques a la cadena de suministro

El Instituto Nacional de Estándares y Tecnología (NIST) ha publicado una guía actualizada sobre cómo proteger la cadena de suministro contra ataques cibernéticos.

Desde 2020, NIST ha publicado dos borradores de documentos sobre cómo la empresa puede defenderse mejor de los ataques a la cadena de suministro.

Hoy, en respuesta a la Orden Ejecutiva 14028: Mejorar la Ciberseguridad de la Nación, NIST ha publicado 'Prácticas de Gestión de Riesgos de la Cadena de Suministro de Ciberseguridad para Sistemas y Organizaciones' para brindar orientación sobre cómo identificar y responder a los riesgos de ciberseguridad de la cadena de suministro.

"Administrar la seguridad cibernética de la cadena de suministro es una necesidad que llegó para quedarse", dijo Jon Boyens del NIST, uno de los autores de la publicación. "Si su agencia u organización no ha comenzado, esta es una herramienta integral que puede llevarlo de gatear a caminar y correr, y puede ayudarlo a hacerlo de inmediato".

El documento es de lectura larga, pesa 326 páginas, pero incluye información valiosa sobre los riesgos de la cadena de suministro, desde la evaluación del control extranjero sobre el desarrollo de un software/producto hasta los riesgos asociados con el uso de proveedores de servicios de TI externos.

Riesgos de ciberseguridad a lo largo de la cadena de suministro
Riesgos de ciberseguridad a lo largo de la cadena de suministro
Fuente: NIST

“Tiene que ver con confianza”, dijo Angela Smith del NIST, especialista en seguridad de la información y otra de las autoras de la publicación. “Las organizaciones necesitan tener una mayor seguridad de que lo que están comprando y usando es confiable. Esta nueva guía puede ayudarlo a comprender qué riesgos buscar y qué acciones considerar tomar en respuesta".

Debido a la extensión y complejidad del documento, el NIST planea publicar una guía de inicio rápido para ayudar a las organizaciones que recién comienzan sus esfuerzos de C-SCRM (Gestión de riesgos de la cadena de suministro de ciberseguridad).

Los ataques a la cadena de suministro se están convirtiendo en objetivos cada vez más populares para los actores de amenazas, ya que les permite comprometer un solo producto y hacer que impacte a numerosas empresas que lo utilizan.

La gravedad de los ataques a la cadena de suministro se demostró en escenarios del mundo real cuando los actores de amenazas comprometieron a SolarWinds para infectar a los clientes intermedios, el software MSP de Kaseya se usó para cifrar más de mil empresas y cómo se usaron los módulos npm para ejecutar comandos remotos.

Estos ataques tuvieron consecuencias generalizadas para muchas organizaciones simplemente al comprometer una sola fuente, lo que ilustra la necesidad de que la empresa agregue protecciones contra los ataques a la cadena de suministro.

Descubre más contenido

Subir Change privacy settings