Código abierto en la empresa - a pesar de Log4J

Sin el creciente número de programas de código abierto, ni los sistemas SAP ni la mayoría de las empresas modernas funcionarían hoy en día. Actualmente, la Oficina Federal Alemana de Seguridad de la Información (BSI) y la prensa especializada -como nuestra revista E-3- lanzan una "alerta roja" advirtiendo de una grave vulnerabilidad de seguridad en el software Log4J, ampliamente utilizado. Esta brecha es crítica porque no sólo permite a los piratas informáticos penetrar en las redes de las empresas sin ser detectados, sino que también posibilita la instalación de puertas traseras difíciles (si no imposibles) de detectar y la instalación de un extenso código malicioso en los sistemas de las empresas. Incluso después de una actualización satisfactoria de Log4J, ésta puede utilizarse para ataques delictivos mucho más tarde y de forma independiente.

Aunque a muchos les parezca un riesgo teórico, desgraciadamente muchos sistemas ya han sido atacados, comprometidos con éxito y han sufrido muchos daños. A diferencia del software de SAP, no suele haber actualizaciones automáticas para el software de código abierto ni avisos como las SAP Notes (para Log4J, SAP ha creado una SAP Note especial). Para empeorar las cosas, Log4J -como gran parte del software de código abierto- es una parte integral y oculta de muchos otros componentes y soluciones, lo que hace que la búsqueda sea más difícil y costosa.

Es importante que el uso de componentes de código abierto en la empresa esté regulado y supervisado por un proceso profesional. Para ello existen soluciones especiales, como las de la start-up VersionEye, con sede en Mannheim, o Snyk, de Israel. Ambas soluciones no sólo conocen la versión actual de los componentes individuales, sino que también pueden supervisar listas de piezas anidadas de componentes de código abierto; en otras palabras, saben dónde se han instalado también los componentes. Además, estas soluciones ofrecen otra información importante, como la calidad (por ejemplo, frecuencia de actualización o distribución), vulnerabilidades de seguridad conocidas y tipos de licencia subyacentes. Pueden advertir automáticamente a los desarrolladores cuando se identifican riesgos o se infringen las normas de la empresa, como cuando se utilizan componentes de código abierto no aprobados.

A medida que aumentan los ataques cibernéticos contra las empresas y sus cadenas de valor debido a que los mundos de TI y SAP son cada vez más importantes, complejos y cambian constantemente, la supervisión de la infraestructura subyacente, como servidores y redes, es cada vez más importante, además de la supervisión de código abierto. Aunque esto es aún más complejo que la supervisión de código abierto, uno debería, no obstante, empezar inmediatamente y hacerse una idea de la situación de riesgo actual en su propia empresa. Además de información detallada sobre la situación de seguridad, las soluciones modernas como LocateRisk de Darmstadt o la mucho más antigua Security Scorecard de Nueva York también proporcionan una comparación con empresas similares (peer group) para que pueda medir en qué punto se encuentra actualmente su propia ciberseguridad.

Además, se suelen dar recomendaciones para solucionar los problemas detectados y mejorar la propia situación de seguridad. Por ejemplo, LocateRisk ofrece un servicio especial para detectar y solucionar más rápidamente la actual amenaza Log4J. Es importante que la supervisión de infraestructuras y de código abierto esté lo más libre de configuraciones y automatizada posible, y que pueda integrarse en los sistemas y cuadros de mando existentes, si es necesario.

Aunque las actuales interrupciones de la cadena de suministro mundial no fueron provocadas (en su mayoría) por ataques de ciberseguridad, sino por la pandemia del Covid 19, entre otras cosas, esto podría cambiar. Por ello, algunas empresas ya tienen a sus proveedores clave controlados por soluciones de supervisión de la ciberseguridad o exigen auditorías de código abierto, como hace SAP para los socios con soluciones en la lista de precios de SAP.