A los apreciados clientes y partners de Ivanti:

Nuestra organización se esfuerza por desarrollar las soluciones más seguras para Everywhere Work. Los acontecimientos de los últimos meses han sido aleccionadores, y quiero que conozcan directamente de mí las medidas que estamos adoptando para salir reforzados y para que nuestros clientes estén más seguros.

Nosotros, al igual que muchas otras empresas de nuestro sector, hemos constatado de primera mano la creciente complejidad del panorama de amenazas y la evolución específica de las tácticas de los agentes de amenazas. Esta actividad ha situado uno de nuestros productos en el centro de la conversación en torno a incidentes de seguridad notificados recientemente. Hemos respondido trabajando con diligencia para proteger y apoyar a nuestros clientes, y estamos examinando muy de cerca nuestra propia postura y nuestros procesos para asegurarnos de que estamos bien preparados para abordar el panorama actual.

Aprovecharemos esta oportunidad para iniciar una nueva etapa en Ivanti. Nos hemos retado a analizar de forma crítica cada fase de nuestros procesos y cada producto, con el fin de garantizar el máximo nivel de protección para nuestros clientes. Ya hemos empezado a aplicar lo aprendido de incidentes recientes para introducir mejoras inmediatas en nuestras prácticas de ingeniería y seguridad. Y vendrán más.

Estamos ejecutando un plan que acelera las iniciativas de seguridad ya en marcha e implementa prácticas mejoradas para anticipar, prevenir y proteger frente a futuras amenazas. Hemos contado con los expertos más reconocidos del sector en seguridad y desarrollo de productos para apoyar la revisión del equipo de Ivanti y proporcionar orientación de ejecución de primer nivel, garantizando así que cumplimos nuestro compromiso con ustedes y que su organización puede trabajar de forma sencilla, segura y con confianza. Este plan cuenta con una inversión significativa y con el pleno respaldo de nuestro consejo de administración y de todos en Ivanti.

Nuestro camino a seguir

Estamos comprometidos con un cambio amplio que transforme de forma fundamental el modelo operativo de seguridad de Ivanti. Esto incluye:

  1. Renovar las prácticas principales de ingeniería, seguridad y gestión de vulnerabilidades para garantizar que nuestros productos actuales sean seguros y que los clientes cuenten con los recursos necesarios para implantarlos de forma segura en su organización.
  2. Garantizar que todos los productos que creamos adopten una metodología de seguridad desde el diseño, con la seguridad considerada como un factor clave en cada etapa del ciclo de vida del desarrollo de software.
  3. Formalizar alianzas con agencias clave de ciberdefensa para garantizar que los productos de Ivanti, y las lecciones que aprendemos al crearlos, impulsen todo el ecosistema de seguridad.
  4. Compartir información y aprendizajes con nuestros clientes, y solicitar activamente sus comentarios para seguir respondiendo a sus necesidades.

A continuación, he descrito nuestras áreas iniciales de enfoque, que previsiblemente seguirán evolucionando a medida que avancemos hacia nuestros objetivos.

Los retos a los que nos enfrentamos no son exclusivos del sector del software y estamos comprometidos a dar los pasos necesarios para marcar el camino a otros. Los agentes de amenazas evolucionan constantemente; tengan la certeza de que nosotros también lo haremos.

En este camino hemos situado a los clientes en el centro. Sus intereses y su colaboración siempre serán nuestra prioridad, ahora y en el futuro.

Atentamente,

Jeff Abbott

Nuestro plan para el futuro de Ivanti

1. Reforzar la seguridad de los productos y adoptar principios de seguridad desde el diseño.

  • Adopción del enfoque de seguridad desde el diseño: Nos centramos en integrar la seguridad en cada etapa del ciclo de vida del desarrollo de software, con procesos sólidos que anticipen y aborden de forma preventiva posibles vulnerabilidades desde la concepción del producto hasta su implantación y más allá. Nuestro enfoque incluirá ejercicios rigurosos de modelado de amenazas, para garantizar que la seguridad esté incorporada como elemento fundamental de nuestros productos. Esta postura proactiva será la piedra angular de nuestro compromiso, lo que nos permitirá mejorar las protecciones para nuestros clientes y anticiparnos a las amenazas emergentes.
  • Optimización de los productos para la seguridad y la confianza del cliente: Ya estamos reforzando la postura de seguridad general de nuestra cartera de productos. Esto incluye acelerar la modernización de la pila tecnológica de nuestros productos de seguridad de red (Ivanti Connect Secure, Policy Secure y ZTA) con diversas tecnologías de aislamiento y antiexplotación para reducir el posible impacto de futuros defectos de software. Nos comprometemos a mantener el sistema operativo subyacente más reciente en nuestros productos de seguridad de red y estamos integrando protecciones adicionales basadas en hardware, así como opciones de monitorización y soporte remotos, para aumentar la protección de nuestros clientes.
  • Aligerar la carga de la seguridad para los clientes: Mejoraremos nuestras capacidades para ofrecer soluciones seguras desde el primer momento (Secure by Default) y crear productos que, de forma opcional, puedan ser gestionados, monitorizados y protegidos por Ivanti. Trabajaremos con nuestros clientes para determinar el nivel adecuado de responsabilidad en materia de monitorización y gestión en función de su línea de productos y segmento de actividad.
  • Priorizar una seguridad centrada en el cliente: Estamos reasignando recursos y realizando nuevas inversiones centradas en la seguridad de los productos en toda la organización. Esto incluye ampliar nuestros equipos de seguridad de productos, crear equipos dedicados y colaborativos de ingeniería y seguridad, e impulsar un enfoque proactivo de modelado de amenazas, revisiones de seguridad y metodologías ampliadas de pruebas de penetración en toda nuestra cartera de productos.

2. Elevar nuestro programa de gestión de vulnerabilidades.

  • Investigación interna y externa para identificar vulnerabilidades: Nos comprometemos a mejorar los procesos y la colaboración en torno al descubrimiento de vulnerabilidades para poder identificar, corregir y notificar con rapidez problemas de seguridad en toda la cartera de Ivanti. Para ello, estamos intensificando nuestras capacidades internas de análisis, explotación manual y pruebas, recurriendo a terceros de confianza para reforzar nuestra investigación interna y facilitando la divulgación responsable de vulnerabilidades con mayores incentivos en torno a un programa de recompensas por vulnerabilidades mejorado.
  • Aplicación de parches y corrección de vulnerabilidades basadas en el riesgo: El objetivo de este programa reforzado de gestión de vulnerabilidades es descubrir y abordar con prontitud cualquier posible problema. Aunque esto puede provocar de forma natural un aumento inicial de los descubrimientos y las divulgaciones, estamos realizando inversiones adicionales en recursos de ingeniería, tecnología y procesos de trabajo para respaldar un enfoque basado en el riesgo que reducirá el tiempo medio de aplicación de parches para las vulnerabilidades de productos que supongan el mayor riesgo para los sistemas de los clientes.

3. Proporcionar soporte reforzado para implantaciones seguras de productos en entornos reales.

  • Accesibilidad de los recursos y la documentación de seguridad en el portal de la comunidad: Los clientes pueden esperar mejoras en el portal de la comunidad durante los próximos meses, incluida una funcionalidad de búsqueda mejorada con IA que permitirá ofrecer resultados más seleccionados en función de los productos concretos que utilice cada cliente. Esto incluirá información sobre parches y documentación. También mejoraremos la interacción de seguridad con los clientes mediante la implementación de un ciclo de comentarios centrado en el cliente y otras mejoras de la experiencia de usuario enfocadas en la aplicación de mejores prácticas de seguridad en los entornos de los clientes.
  • Implantación de un sistema de respuesta de voz interactiva (IVR) mejorado y más inteligente: Nos comprometemos a proporcionar a nuestros clientes el soporte que necesitan de forma rápida y eficaz. En los próximos meses habremos implantado un sistema de respuesta de voz interactiva (IVR) con IA que mejorará la experiencia del cliente al dirigir las llamadas, alertar a los clientes sobre información relacionada con la seguridad de su producto y abrir automáticamente casos de soporte previa solicitud.
  • Trabajar con los clientes para actualizarse a las plataformas más recientes: Mientras trabajamos para mejorar la seguridad de nuestras versiones más recientes, también es importante que nuestros clientes puedan beneficiarse de estas mejoras utilizando nuestras plataformas con mayor soporte y seguridad. Estamos trabajando con los clientes para reducir los obstáculos —ya sean contractuales, técnicos o financieros— con el fin de facilitar la adopción de las soluciones más recientes y seguras, así como de mejoras de seguridad diseñadas para proteger frente al panorama de amenazas actual.
  • Superar los obstáculos prácticos para la higiene de seguridad en dispositivos locales: Entendemos que la administración real de redes empresariales equilibra realidades y limitaciones prácticas. Cuando los clientes requieren una solución íntegramente local, nos comprometemos a ayudarles a operar dentro de estos límites sin comprometer la seguridad del sistema. En las próximas semanas trabajaremos con los clientes con entornos locales para comunicar las lecciones aprendidas y las mejores prácticas para operar sus soluciones en el entorno actual.

4. Compartir información con nuestros clientes y nuestra comunidad.

  • Intercambio de información y transparencia: Las relaciones sólidas con los clientes son esenciales para el éxito de nuestra empresa, y nuestra amplia interacción con los clientes, así como los comentarios recibidos de ellos durante este incidente, han generado un enorme beneficio mutuo. Queremos garantizar que esto continúe. Los clientes y partners pueden esperar que Ivanti comparta las lecciones aprendidas; además, tenemos previsto continuar con nuestras sesiones informativas para clientes con expertos externos, lanzar una serie de blogs dedicada al panorama de amenazas actual y organizar seminarios web y mesas redondas para abordar temas de privacidad y seguridad con nuestra comunidad.
  • Creación de un consejo asesor de clientes: Cada una de las iniciativas anteriores debe guiarse por las aportaciones de los clientes y ajustarse con sus comentarios. Institucionalizaremos este proceso y anunciaremos en las próximas semanas nuestros planes para recopilar aportaciones de los clientes en beneficio del desarrollo de productos, la priorización de funcionalidades, las preocupaciones de seguridad y las decisiones estratégicas sobre nuestras hojas de ruta de productos.