La seguridad de la cadena de suministro de TI no se conoce lo suficiente y, sin embargo, está experimentando un resurgimiento significativo entre los ciberdelincuentes y los espías. En este contexto, Eclypsium, especializada en este tema, acaba de publicar una guía para concienciar a los actores TI. "Los CIO, CISO y gerentes de la cadena de suministro pueden utilizar esta guía para evaluar su exposición a las amenazas de ciberseguridad y tomar mejores decisiones de compra basadas en el riesgo", dijo la empresa en un comunicado de prensa.

Esta versión incluye información verificada sobre productos y componentes de proveedores de hardware y software Dell, HP, Lenovo, HPE, Cisco, Intel y Nvidia. La guía estará disponible como una oferta SaaS independiente, complementaria e integrada con la plataforma Supply Chain Security del proveedor.

Índice
  1. Varios eventos emblemáticos
  2. Fortalecer la confianza de los CISO

Varios eventos emblemáticos

En 2023, varios incidentes de alto perfil afectaron la infraestructura de TI, lo que llevó la seguridad de la cadena de suministro a lo más alto de la agenda de las empresas y los gerentes de seguridad. En mayo, los investigadores detectaron comportamientos que sugerían la presencia de puertas traseras en los sistemas de Gigabyte. En junio, se publicó información sobre la presencia de una vulnerabilidad crítica (CVE-2023-34362) en una aplicación web de transferencia segura de archivos llamada MOVEit Transfer, que fue explotada por piratas informáticos.

Según Gartner, para 2025, el 60% de los líderes de gestión de riesgos de la cadena de suministro planean integrar el riesgo cibernético en los contratos y relaciones comerciales con terceros. "Muchas juntas directivas de empresas están preocupadas por la seguridad de TI y existe una necesidad urgente de proporcionar un repositorio central que brinde a las empresas la capacidad de evaluar los riesgos de los productos de TI", dijo Yuriy Bulgyin, director ejecutivo y cofundador de IT Security. 'Eclepsio.

Fortalecer la confianza de los CISO

"La guía de Eclypsium ayuda a los equipos a rastrear riesgos/incidentes clave en la cadena de suministro y evaluar si los productos que están usando o considerando comprar se ven afectados", explicó el editor. . “Tradicionalmente, los CISO evalúan el riesgo de los proveedores mediante cuestionarios durante el proceso de incorporación, pero eso es sólo papel. Luego tienen que gestionar ese riesgo de terceros en producción, con bits y bytes”, afirmó Allan Alford, CISO de Eclypsium. "La guía aporta datos técnicos concretos al proceso de gestión de riesgos de proveedores, analizando y verificando productos a nivel técnico para que los CISO puedan tomar sus decisiones con confianza", añadió.