“La madurez de la gestión de vulnerabilidades de las empresas es un criterio para determinar la efectividad en la gobernanza digital y capacidades de ingeniería de software. La falta de gestión activa y continua de las vulnerabilidades incrementa el riesgo de fallas, filtrar información y comprometer los activos y la reputación de la empresa”, destacó Manuel Díaz, CISO de Huawei.

De ahí que a la oficina de Ciberseguridad se le encomendara un proyecto enfocado en la gestión integral de vulnerabilidades de la cadena de suministro durante todo el ciclo de vida del producto como un medio importante para reducir los riesgos de las redes activas y garantizar la continuidad del servicio.  El proyecto está basado en cinco principios:

1. Reducción de daños y riesgos. Gestión de vulnerabilidades que reduzca el daño y los riesgos de seguridad causados por vulnerabilidades en los productos y servicios para clientes/usuarios.
2. Reducción de vulnerabilidades y mitigación. 1) Tomar medidas para disminuir las vulnerabilidades de los productos y servicios, y 2) Proporcionar con prontitud mitigación de riesgos para clientes/usuarios una vez que se detecten vulnerabilidades en productos y servicios.
3. Gestión proactiva. Los problemas de vulnerabilidad deben resolverse a través de la colaboración en los insumos, productos o servicios que requiere la organización (upstream) y los productos y servicios que se entregan o implementan por la organización (downstream).
4. Mejora continua. Establecer el aprendizaje continuo y adaptación de los estándares y las mejores prácticas de la industria para medir la madurez de la gestión de vulnerabilidades.
5. Apertura y colaboración. Promover la adopción y práctica de una actitud abierta y cooperativa y fortalecer la conexión con la cadena de suministro y el ecosistema de seguridad externa.

Teniendo como base las
características y funcionalidades de
productos y servicios con las nuevas
tecnologías, el número de amenazas
a la seguridad en el ciberespacio ha
aumentado drásticamente causando
grandes pérdidas económicas.

Por último, Manuel Díaz añadió que los equipos de productos deben analizar la causa raíz de vulnerabilidad para mejorar las actividades de seguridad. Mientras que los responsables de productos deben fomentar y aumentar continuamente la conciencia y las capacidades de seguridad entre todos los colaboradores del área a través de comunicación externa y mediante la colaboración entre upstream y downstream de las partes interesadas en la cadena de la industria.