Diez agencias de siete países han unido fuerzas para crear una guía para que los desarrolladores de software garanticen que sus productos sean seguros tanto por diseño como por defecto. Titulado " Cambiando el equilibrio del riesgo de ciberseguridad: principios y enfoques para la seguridad por diseño y por defecto ("Reequilibrio del riesgo de ciberseguridad: seguridad por diseño y principios y enfoques predeterminados"), esta guía surge después del reciente descubrimiento de varias vulnerabilidades críticas en software de varios proveedores. En abril, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó siete avisos sobre vulnerabilidades en sistemas de control industrial (ICS) y SCADA (control de supervisión y adquisición de datos) de múltiples proveedores, incluidas vulnerabilidades críticas. Semanas antes, la agencia también emitió avisos sobre 49 vulnerabilidades en ocho ICS de proveedores como Delta Electronics, Hitachi, Keysight, Rockwell, Siemens y VISAM.

Las agencias que colaboraron en esta guía son: el Centro Australiano de Seguridad Cibernética (ACSC); el Centro Canadiense de Seguridad Cibernética (CCCS); la Oficina Federal Alemana para la Seguridad de las Tecnologías de la Información (Bundesamt für Sicherheit in der Informationstechnik, BSI); el Centro Nacional de Seguridad Cibernética de los Países Bajos (NCSC-NL); el Equipo de Respuesta a Emergencias Informáticas de Nueva Zelanda (CERT NZ) y el Centro Nacional de Seguridad Cibernética de Nueva Zelanda (NCSC-NZ); el Centro Nacional de Seguridad Cibernética (NCSC-UK); la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional de Estados Unidos (NSA).

Índice
  1. Seguridad por diseño o seguridad por defecto
  2. Destaca el papel del desarrollador
  3. Editores de TI responsables de la seguridad de sus productos.

Seguridad por diseño o seguridad por defecto

En sus directrices, el documento define los productos seguros por diseño como aquellos para los cuales la seguridad del cliente es un objetivo empresarial central, no sólo una característica técnica. Los productos Secure by Design se diseñan con este objetivo en mente antes de que comience el desarrollo. Los productos Seguros por defecto son aquellos que son seguros de usar desde el primer momento, requieren pocos o ningún cambio de configuración y tienen funciones de seguridad disponibles sin costo adicional. Las agencias creen que estos enfoques ayudan a aliviar la carga de seguridad del cliente y reducir el riesgo de un incidente de seguridad.

Destaca el papel del desarrollador

Todos los fabricantes de tecnología deberían diseñar sus productos de manera que sus clientes no tengan que realizar constantemente comprobaciones, actualizaciones rutinarias y control de daños en sus sistemas para mitigar las intrusiones cibernéticas. “Históricamente, los desarrolladores de tecnología simplemente han parcheado las vulnerabilidades descubiertas después de que los clientes han implementado productos, exigiéndoles que apliquen esos parches por su cuenta. Sólo incorporando prácticas de seguridad desde el diseño pondremos fin al círculo vicioso de creación y aplicación de parches”, afirma el documento de orientación.

Las agencias instan a los desarrolladores a renovar sus programas de diseño y desarrollo para entregar a los clientes únicamente productos que sean seguros por diseño y por defecto. En particular, el documento pide a los desarrolladores de sistemas que adopten lenguajes de programación que eviten la propagación de vulnerabilidades en lugar de centrarse en características del producto que parecen atractivas pero que aumentan el riesgo de ataque. "Esta guía común pretende alimentar el debate sobre las normas de seguridad y garantizar que la carga del riesgo cibernético ya no recaiga principalmente en el consumidor", afirmó Lindy Cameron, directora ejecutiva del Centro Nacional de Ciberseguridad. Autoridad de Ciberseguridad del Reino Unido (NCSC-UK), en comunicado de prensa. "Hacemos un llamado a los fabricantes de tecnología para que se familiaricen con los consejos de esta guía e implementen prácticas de seguridad por diseño y por defecto en sus productos para garantizar la seguridad y resiliencia de las actividades en línea", agregó.

Editores de TI responsables de la seguridad de sus productos.

Parte de la guía incluye recomendaciones para CISO y compradores de TI, así como consejos para proteger sus negocios. Las agencias recomiendan que las empresas responsabilicen a sus editores de la seguridad de sus productos. En particular, deberían priorizar la compra de productos que sean seguros por diseño o por defecto, como se describe en las directrices. El documento sugiere que los departamentos de TI exijan en sus políticas una evaluación de seguridad del software de los fabricantes antes de la compra, y brinden a estos departamentos los medios para oponerse a su implementación si es necesario. “Los departamentos de TI deberían estar facultados para establecer criterios de compra que tengan en cuenta la importancia de la seguridad desde el diseño y las prácticas predeterminadas. La guía va aún más allá al recomendar que la dirección general apoye a los servicios de TI cuando apliquen estos criterios. “Las decisiones de las empresas de aceptar riesgos asociados con productos tecnológicos específicos deben documentarse formalmente, ser aprobadas por un alto ejecutivo y presentarse periódicamente a la junta directiva”, recomienda la guía.

La postura de seguridad empresarial debe considerarse crítica, incluida la red empresarial, la gestión de identidades y accesos, y las operaciones de seguridad y respuesta. Según el documento, “las empresas deberían reforzar la importancia de la seguridad de los productos, tanto formalmente en forma de contratos con proveedores como informalmente estableciendo una asociación a largo plazo con el proveedor que garantice la seguridad de los productos”. La guía también aconseja mantener relaciones con pares para conocer los mejores productos y servicios de seguridad mediante el diseño, así como crear un frente unido y brindar retroalimentación a los proveedores de tecnología. Cuando se trata de seguridad en la nube, los compradores de tecnología deben comprender la responsabilidad tanto del proveedor como de la empresa. "Los productos de TI inseguros pueden representar riesgos para los usuarios individuales y para nuestra seguridad nacional", dijo en un comunicado Rob Joyce, director de ciberseguridad de la NSA. "Si los fabricantes priorizan constantemente la seguridad durante el diseño y el desarrollo, podemos reducir la cantidad de intrusiones cibernéticas maliciosas". Las agencias solicitan comentarios de las partes interesadas por correo electrónico sobre las prioridades, inversiones y decisiones necesarias para garantizar que la tecnología del mañana sea segura y resistente por diseño y por defecto.