Por qué los proveedores pueden tener dificultades para mantener el impulso de la “seguridad por diseño” ISMS.online

Por qué los proveedores pueden tener dificultades para mantener el impulso de la “seguridad por diseño”

Por John Leyden • 20 de junio de 2024

Decenas de proveedores de tecnología se han suscrito a un programa respaldado por el gobierno de EE. UU. Compromiso Secure by Design. Pero, ¿marcará el compromiso una ruptura con el pasado y con el ciclo aparentemente interminable de ciberataques? Los expertos independientes, aunque elogian la iniciativa como valiosa, siguen sin estar seguros de su probable impacto.

¿De que se trata?

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) está tratando de lograr que los proveedores de software se adhieran al compromiso como parte de una estrategia más amplia para mejorar la resiliencia de la ciberseguridad nacional. Es voluntario y no es legalmente vinculante, pero tiene como objetivo impulsar a los proveedores de software a hacer de la seguridad una parte fundamental del ciclo de vida de desarrollo de sus productos.

Los objetivos del compromiso se dividen en siete categorías:

⦁ Aumentar el uso de la autenticación multifactor en todos los productos

⦁ Reducir la prevalencia de contraseñas predeterminadas en todos los productos

⦁ Demostrar una reducción significativa y mensurable en la prevalencia de una o más clases de vulnerabilidad en todos los productos.

⦁ Incrementar la instalación de parches de seguridad por parte de los clientes

⦁ Publicar una política de divulgación de vulnerabilidades que autorice pruebas públicas.

⦁ Demostrar transparencia en los informes de vulnerabilidades al incluir datos precisos de enumeración de debilidades comunes (CWE) y de enumeración de plataformas comunes (CPE) en los informes de vulnerabilidad. Emitir registros de vulnerabilidades y exposiciones comunes (CVE) para productos de manera oportuna

⦁ Aumentar la capacidad de los clientes para recopilar evidencia de intrusiones de ciberseguridad que afectan las tecnologías de un fabricante.

Los desarrolladores de software, los servicios en la nube y las tecnologías SaaS están todos dentro del alcance del compromiso, pero los productos físicos como los dispositivos IoT y los bienes de consumo no. Un grupo de 68 empresas tecnológicas líderes –entre ellas Amazon Web Services, Cisco, Google y Microsoft– firmaron el compromiso cuando se lanzó a principios de mayo, y desde entonces esta cifra ha aumentado a más de 140 proveedores.

CISA espera que los compromisos públicos de una lista cada vez mayor de empresas fomenten la transparencia y permitan a los clientes evaluar el progreso de los proveedores en los objetivos de seguridad. Se pide a los fabricantes que documenten su progreso en el logro de sus objetivos dentro del año posterior a la firma del compromiso, en parte para que la industria en general pueda aprender de su viaje hacia la seguridad.

Respaldar la promesa

Los proveedores ya prometen habitualmente mejorar su seguridad tras ataques o infracciones cibernéticas, por lo que es legítimo preguntarse qué impacto podría tener un compromiso voluntario.

"El compromiso en sí, si bien es vital para crear conciencia y establecer el punto de referencia necesario para las prácticas de seguridad, no impone ni incentiva a los proveedores más allá de la responsabilidad ética para integrar plenamente estos principios en sus procesos de desarrollo", dijo Patrick Tiquet, vicepresidente de seguridad y cumplimiento de Keeper Security. le dice a ISMS.online.

"Sin embargo, si los clientes de software insisten en que los desarrolladores hagan este compromiso y confirmen que lo están cumpliendo, el compromiso se volverá menos voluntario y se transformará en una expectativa básica".

Taimur Ijlal, experto en tecnología y líder de seguridad de la información en Netify, también advierte.

"Las empresas líderes como Microsoft y Google deben dar el ejemplo y alentar a otras a seguirlo si quieren que la promesa genere un cambio significativo", dice a ISMS.online. "Sin embargo, sin las fuerzas del mercado o las exigencias legales, muchos proveedores de software aún podrían mostrarse reacios a participar, incluso con su respaldo".

Según Ijlal, mucho depende del nivel ético de los firmantes, quien añade que incluso un compromiso incondicional con las mejoras no es garantía de éxito.

"Las vulnerabilidades todavía se cuelan incluso en el software producido por proveedores acreditados", argumenta. "Si bien el compromiso fomenta el progreso, carece de mecanismos de aplicación para garantizar que las empresas cumplan plenamente sus compromisos".

Maria Opre, experta en ciberseguridad y analista senior de EarthWeb, sostiene que los proveedores pueden obtener beneficios económicos al mejorar la seguridad de sus productos.

"Para las empresas, las violaciones de seguridad pueden tener impactos devastadores: multas regulatorias, daños a la reputación, costosos tiempos de inactividad, solo por nombrar algunos", le dice a ISMS.online. “Seguir prácticas de codificación segura desde el principio reduce la deuda técnica y los costosos parches posteriores. Es una inversión inteligente”.

Gato y ratón

También existe el peligro de que cualquier progreso logrado a través del compromiso pueda verse socavado por cambios en las tácticas de los actores de amenazas.

John Allison, director de negocios del sector público de Checkmarx, afirma que es de esperar una evolución de las amenazas, por lo que el objetivo debería ser mejorar continuamente la seguridad y cobrar costes a los atacantes.

"Los adversarios siempre están evolucionando, pero el objetivo aquí es obligarlos a adaptarse e invertir tiempo y esfuerzo para encontrar brechas en una arquitectura de seguridad fundamentalmente sólida", le dice a ISMS.online. "Esperaría que los objetivos de seguridad por diseño evolucionen con el tiempo a medida que las amenazas también evolucionen".

Ijlal de Netify sostiene que Secure by Design debe convertirse en una “práctica continua” en lugar de un enfoque aislado de casillas de verificación.

“Los desarrolladores deben evaluar constantemente nuevos riesgos y evolucionar sus prácticas en consecuencia. Al final, la seguridad estática siempre será eludida”, añade. “Es bueno enseñar a los desarrolladores cómo diseñar código seguro, realizar evaluaciones de riesgos y emplear modelos de amenazas. A medida que racionalizamos los procedimientos, también necesitamos invertir en las personas”.

Desplazar a la izquierda

La promoción de prácticas DevSecOps, que alientan a los desarrolladores de software a "girar hacia la izquierda" al participar en prácticas de codificación segura desde el principio, se alinea con los objetivos del compromiso Secure by Design de CISA.

Permite a los desarrolladores mitigar los riesgos antes de que se conviertan en vulnerabilidades explotables. Sin embargo, lograrlo requiere algo más que promesas; exige una integración integral de las mejores prácticas de seguridad durante todo el ciclo de vida del desarrollo de software.

"Construir una arquitectura de seguridad eficaz y bien pensada requiere un conjunto de habilidades muy diferente al que tienen la mayoría de los desarrolladores de software", según Allison de Checkmarx. "En la prisa por lanzar nuevos productos al mercado, la seguridad a menudo se ignora por completo o se hace mínimamente, lo suficiente para aprobar una certificación".

Impulso de estándares

Las certificaciones pueden ayudar a promover la seguridad por diseño elevando el nivel de los controles que se deben implementar y cómo los auditores deben evaluar a la empresa para obtener la certificación. Y los expertos afirman que estándares de seguridad como ISO 27001 también podrían ayudar a promover una cultura de seguridad por diseño. ISO 27001, por ejemplo, proporciona un marco para gestionar la seguridad de la información que ayuda a las organizaciones a abordar sistemáticamente los riesgos de seguridad.

“Estándares como ISO 27001 desempeñan un papel crucial en la promoción de una cultura de seguridad desde el diseño. Al adherirse a dichos estándares, las empresas pueden garantizar que la seguridad no sea una ocurrencia tardía sino un componente fundamental de sus operaciones”, concluye Tiquet de Keeper Security.

"Esta estandarización puede impulsar la adopción de prácticas de desarrollo seguras y fomentar un entorno de software más resistente".

Juan Leyden

John Leyden ha escrito sobre redes informáticas y ciberseguridad durante más de 20 años. Antes de la llegada de Internet, trabajó como reportero de crímenes en un periódico local en Manchester. John tiene una licenciatura en ingeniería electrónica de la Universidad de la City de Londres.

Lea más de John Leyden

Privacidad de datos 22 de septiembre de 2024

Se insta a las empresas a seguir las regulaciones de IA de "rápida evolución"

La Inteligencia Artificial (IA) está transformando el sector de las tecnologías de la información a un ritmo vertiginoso. Ha transformado las aplicaciones, incluyendo la gestión de datos...

Juan Leyden

La seguridad cibernética 28 May 2024

decodificando la nueva guía del ncsc para el banner scada alojado en la nube

Decodificando la nueva guía del NCSC para SCADA alojado en la nube

Los sistemas de tecnología operativa (OT) monitorean y controlan automáticamente los procesos y equipos que operan desde plantas de energía hasta hospitales inteligentes...

Juan Leyden

La seguridad cibernética 9 de abril de 2024

Cómo cumplir con las regulaciones de datos biométricos

La tecnología de reconocimiento facial impulsada por IA es una herramienta cada vez más popular para las organizaciones que buscan optimizar los controles de acceso y mejorar la seguridad...

Juan Leyden