Siete países se alían para impulsar el desarrollo seguro mediante el diseño
Agencias de siete países se unen con el firme propósito de definir unas directrices que pretenden eliminar la carga de la seguridad del comprador de tecnología.
- Ni flexibilidad, ni escalabilidad o precio; los CIO piden a los proveedores de TI confianza, fidelidad y visión compartida
- Una brecha en un proveedor externo expone los datos de nueve millones de clientes de AT&T
- La CISA encuentra vulnerabilidades en sistemas de control industrial de los principales proveedores
- Los cinco mayores riesgos de utilizar proveedores de servicios externos
Diez organismos de siete países han unido sus fuerzas para crear una guía destinada a las organizaciones de desarrolladores de software, con el fin de garantizar que sus productos sean seguros tanto por diseño como por defecto. La guía conjunta, titulada Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design-and -Default (Cambiar el equilibrio del riesgo de ciberseguridad: principios y enfoques para la seguridad desde el diseño y por defecto), llega después de que recientemente se identificaran varias vulnerabilidades críticas en el software de los proveedores. En abril, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos publicó siete avisos sobre vulnerabilidades en sistemas de control industrial (ICS), software de control de supervisión y adquisición de datos (SCADA) de varios proveedores, incluidas vulnerabilidades críticas. Unas semanas antes, la agencia también había publicado avisos sobre 49 vulnerabilidades en ocho ICS de proveedores como Delta Electronics, Hitachi, Keysight, Rockwell, Siemens y VISAM.
Las agencias colaboradoras en esta nueva iniciativa son:
El Centro Australiano de Ciberseguridad (ACSC)
El Centro Canadiense de Ciberseguridad (CCCS)
Oficina Federal de Seguridad de la Información de Alemania (BSI)
Centro Nacional de Ciberseguridad de los Países Bajos (NCSC-NL)
Equipo de Respuesta a Emergencias Informáticas de Nueva Zelanda (CERT NZ) y Centro Nacional de Ciberseguridad (NCSC-NZ) de Nueva Zelanda
Centro Nacional de Ciberseguridad del Reino Unido (NCSC-UK)
CISA, Oficina Federal de Investigación (FBI) y Agencia de Seguridad Nacional (NSA) de Estados Unidos.
Seguridad desde el diseño frente a seguridad por defecto
Las directrices definen los productos seguros desde el diseño como aquellos en los que la seguridad de los clientes es un objetivo empresarial básico, no sólo una característica técnica. Los productos seguros desde el diseño parten de ese objetivo antes de iniciar el desarrollo. Los productos seguros por defecto son aquellos cuyo uso es seguro desde el primer momento, sin apenas cambios de configuración y con funciones de seguridad disponibles sin coste adicional. En opinión de las agencias, estos enfoques quitan al cliente gran parte de la carga de la seguridad y reducen las posibilidades de que sea víctima de incidentes de seguridad.
El papel del desarrollador tecnológico
Todos los fabricantes de tecnología deben crear sus productos de forma que eviten que los clientes tengan que realizar constantemente tareas de supervisión, actualizaciones rutinarias y control de daños en sus sistemas para mitigar las intrusiones cibernéticas. "Históricamente, los fabricantes de tecnología han confiado en solucionar las vulnerabilidades encontradas después de que los clientes hayan desplegado los productos, exigiendo a los clientes que apliquen esos parches por su cuenta. Sólo incorporando prácticas de diseño seguro romperemos el círculo vicioso de crear y aplicar parches", rezan las directrices.
Las agencias instaron a los desarrolladores de tecnología a renovar sus programas de diseño y desarrollo para permitir que sólo se envíen a los clientes productos seguros por diseño y por defecto.? Una forma de conseguirlo, sugiere el documento, es que los desarrolladores de sistemas migren a lenguajes de programación que eliminen la vulnerabilidad generalizada en lugar de centrarse en características del producto que parecen atractivas pero aumentan el riesgo de un ataque.
Lindy Cameron, directora general del Centro Nacional de Ciberseguridad del Reino Unido, afirma en un comunicado: "Nuestra nueva guía conjunta pretende impulsar la conversación en torno a las normas de seguridad y ayudar a cambiar las tornas para que la carga del ciberriesgo deje de recaer en gran medida sobre el consumidor. Hacemos un llamamiento a los fabricantes de tecnología para que se familiaricen con los consejos de esta guía y apliquen en sus productos prácticas de seguridad por diseño y por defecto para contribuir a garantizar que nuestra sociedad sea segura y resistente en línea".
Responsabilizar a los proveedores de tecnología de la seguridad de sus productos
Parte de la orientación incluye recomendaciones para los CISO y los compradores de tecnología y cómo ayudar a proteger sus empresas. Las orientaciones recomiendan a las organizaciones que responsabilicen a sus proveedores de tecnología de la seguridad de sus productos. Esto debe hacerse dando prioridad a la compra de lo que la guía describe previamente como productos seguros por diseño y seguros por defecto. Sugiere que esto se haga estableciendo políticas que exijan que los departamentos de TI evalúen la seguridad del software del fabricante antes de comprarlo, así como facultando a los departamentos de TI para oponerse si es necesario. "Los departamentos de TI deben estar facultados para desarrollar criterios de compra que hagan hincapié en la importancia de las prácticas de seguridad por diseño y por defecto".
La guía va más allá y recomienda que los departamentos de TI cuenten con el apoyo de la dirección ejecutiva a la hora de aplicar estos criterios. "Las decisiones de la organización de aceptar los riesgos asociados a productos tecnológicos específicos deben documentarse formalmente, ser aprobadas por un alto ejecutivo de la empresa y presentarse periódicamente al consejo de administración".
La postura de seguridad de la organización debe considerarse crítica, incluyendo la red empresarial, la gestión de identidades y accesos y las operaciones de seguridad y respuesta. Las organizaciones deben reforzar la importancia de la seguridad de los productos tanto formalmente, a través de contratos con los proveedores, como informalmente, mediante la creación de una asociación a largo plazo en la que los compradores sepan cómo trabaja el proveedor para garantizar la seguridad de los productos.
Mantenga una relación con sus homólogos para estar informado sobre los mejores productos y servicios con un diseño seguro, pero también para crear un frente unido que dé su opinión a los proveedores de tecnología. Cuando se trata de seguridad en la nube, los compradores de tecnología deben comprender tanto la responsabilidad de los proveedores como la de las organizaciones. "Los productos tecnológicos inseguros pueden suponer riesgos para los usuarios individuales y para nuestra seguridad nacional", dijo el director de ciberseguridad de la NSA, Rob Joyce, en un comunicado. "Si los fabricantes priorizan sistemáticamente la seguridad durante el diseño y el desarrollo, podemos reducir el número de intrusiones cibernéticas maliciosas que vemos".
Las agencias buscan comentarios por correo electrónico sobre la orientación de las partes interesadas sobre las prioridades clave, las inversiones y las decisiones necesarias para lograr un futuro en el que la tecnología sea segura, protegida y resistente por diseño y por defecto.
