La transformación digital, que se ha visto impulsada en los últimos años, ha alcanzado una escala sin precedentes. IDC prevé que su gasto mundial llegue a alcanzar los 2.800 millones de dólares en tres años. Se estima que cada organización utilizó de media unas 110 aplicaciones diferentes de software en 2021. Hace cinco años esa cifra era de 16. Esto deja claro que nos encontramos en una época de alto consumo de software.
Desde una perspectiva de ciberseguridad, que una empresa sea dependiente de muchos tipos de software supone un problema, ya que los actores de amenazas pueden beneficiarse de esa amplia superficie de ataque. Una reciente encuesta realizada a más de 400 empresas en todo el mundo mostró que el 98 % de las organizaciones estaba preocupada por la seguridad de su software.
En una empresa consolidada, la sostenibilidad de la infraestructura TI que incluye varios tipos de software depende de lo que sepamos de cada solución y de su visibilidad. Sin unos requisitos de seguridad claros para evaluar la seguridad del software y promover una mayor transparencia, es probable que el dominio tecnológico tenga un control limitado.
Uno de los conceptos destinados a agilizar las conexiones entre las cadenas de suministro de software es el de Construcción de Materiales de Software (SBOM), una lista de los componentes que conforman un software, que contiene información completa y describe las relaciones entre cada elemento. Al disponer de SBOM, las empresas tienen más posibilidades de hacer frente a las vulnerabilidades de seguridad y a los riesgos de ciberseguridad de forma rápida.
En otoño de 2021, como parte de su trabajo en transparencia, Kaspersky puso a disposición sus SBOM en los Centros de Transparencia de la compañía. Estos centros sirven principalmente como instalaciones para la revisión del código de la empresa, las actualizaciones de software, las reglas de detección de amenazas y otros procesos técnicos y empresariales. Junto con las medidas implementadas por Kaspersky como parte de su Iniciativa Global de Transparencia (GTI), la inclusión de los SBOM tiene como objetivo proporcionar a nuestros clientes y partners la información sobre cómo están diseñados exactamente nuestros productos, de qué componentes están hechos y cómo funcionan. A pesar de que los reguladores y los agentes privados han valorado el concepto de SBOM como crucial para garantizar un uso sostenible y seguro del software, las nuevas estadísticas muestran que menos de la mitad de los desarrolladores de software los utilizan de algún modo.
Al disponer de SBOM, las empresas tienen más posibilidades de hacer frente a las vulnerabilidades de seguridad y a los riesgos de ciberseguridad de forma rápida
La situación podría cambiar en un futuro próximo, ya que los gobiernos pueden empezar a considerar los SBOM como una medida necesaria para mejorar la gestión de riesgos. El primero de ellos es Estados Unidos, donde, tras el incidente de SolarWinds, el SBOM se ha promovido a nivel gubernamental para convertirse en un esfuerzo de toda la industria. Por su parte, la Unión Europea también ha iniciado un debate más amplio sobre un marco legal que reuniría las normas de ciberseguridad para los productos y servicios digitales. Posiblemente más gobiernos sigan el ejemplo de la UE, garantizando que los proveedores de software coloquen salvaguardas de ciberseguridad adecuadas en sus soluciones, respondan eficazmente a las vulnerabilidades y proporcionen sistemáticamente información sobre la seguridad del producto.
Para Kaspersky, la seguridad de nuestros usuarios y clientes es la prioridad principal. En 2017 pusimos en marcha nuestra GTI, cuyo objetivo era seguir reforzando las relaciones con nuestros socios y clientes, impulsando su seguridad y confianza en nuestras soluciones y servicios.
Los desarrollos de la industria indican que la transparencia está alcanzando una mayor prominencia: esto se refleja en los desarrollos dentro de la industria y en la creciente atención de varios gobiernos a una mayor seguridad e integridad del software. Kaspersky tratará de ofrecer un sólido apoyo a esta tendencia, realizando una mayor inversión continua en la confianza digital y la transparencia.
Alfonso Ramírez
Director general de Kaspersky en Iberia