sábado, noviembre 23, 2024
Grupo Hotelero Islazul
INTERFER
MAD-HAV Enjoy Travel Group
Mónica Eventos y Bodas
Walmart
AVA Resorts
Realidad Turística
Cuba Energy Summit
Cuba Energy Summit
INOR
blackanddecker
MITM Events
Servicios Médicos Cubanos
INTERFER
Mónica Eventos y Bodas
CUN-HAV Enjoy Travel Group
Barceló Solymar
Realidad Turística
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Walmart
Grupo Hotelero Islazul
Intecap
Herbalife
Agexport
Nestle
MuniGuate
Instituto Hondureño de Turismo
MAD-HAV Enjoy Travel Group
AVA Resorts
Los Portales
Cervecería Centroamericana S.A.

Nueva tendencia en ciberseguridad: Seguridad por diseño y por defecto

La guía “Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default” (Cambiar el equilibrio del riesgo de ciberseguridad: principios y enfoques para la seguridad por diseño y por defecto) fue publicada recientemente por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), junto con la Agencia de Seguridad Nacional (NSA) de los EE.UU., el FBI y las autoridades de ciberseguridad de Nueva Zelanda, Países Bajos, Alemania, Reino Unido, Canadá y Australia. Fue presentada como referencia, especialmente dirigida a los fabricantes de tecnología de la información, para incorporar la seguridad desde las primeras etapas del desarrollo de software, con el objetivo de entregar productos más seguros a los clientes. Fluid Attacks, compañía especializada en realizar pruebas de seguridad integrales y continuas en aplicaciones y otros sistemas informáticos, nos explica la importancia de ejecutar lo sugerido en dicha guía.

Felipe Gómez, Director Regional de Fluid Attacks, señala que “muchos proveedores de tecnología todavía están rezagados en lo que respecta a asegurar o proteger los productos que desarrollan y comercializan; incluso se desentienden de esta responsabilidad. Por esta razón, suelen ser los clientes quienes deben responsabilizarse de monitorear su seguridad y de reducir y responder a los riesgos cibernéticos. La guía a la que nos referimos hace un llamado a los fabricantes de tecnología para que renueven sus programas de diseño y desarrollo, y así permitan que solamente sean enviados a los clientes productos seguros por diseño y por defecto. Estos productos tendrían la seguridad de los clientes como objetivo fundamental y no requerirían cambios de configuración ni pagos adicionales por funciones en pro de la seguridad”.

Seguridad por diseño

La seguridad por diseño implica que los fabricantes reconozcan desde un principio a qué tipo de ciberamenazas se enfrentarán sus productos y que en función de ellas apliquen buenas prácticas de desarrollo e implementen los controles de seguridad necesarios. Esto requiere que la seguridad sea una prioridad empresarial y que se inviertan recursos en características y mecanismos básicos que ubiquen la protección del cliente por encima de todo. Si bien esto podría aumentar los costos en las fases iniciales del ciclo de vida de desarrollo de software, a largo plazo se reducirían los costos de mantenimiento y remediación de vulnerabilidades.

De acuerdo con la guía, para la seguridad por diseño es útil recurrir a publicaciones como la “Secure Software Development Framework” de NIST (Instituto Nacional de Estándares y Tecnología) que sugieren prácticas que permiten a las empresas identificar, eliminar y prevenir vulnerabilidades de seguridad, así como mitigar los riesgos que estas representan. Algunas prácticas recomendadas son las siguientes:

  • Emplear lenguajes de programación que gestionan automáticamente la memoria y no requieren que se agregue código para protegerla, como Java, Ruby o Rust.
  • Diseñar una infraestructura que permita que el sistema en su conjunto no se vea afectado cuando se ve comprometido algún control de seguridad.
  • Adquirir y mantener componentes de software de terceros seguros.
  • Generar un inventario detallado de los componentes o recursos utilizados en el software y sus dependencias.
  • Requerir la revisión del código por parte de otros desarrolladores.
  • Aplicar pruebas de seguridad de aplicaciones estáticas y dinámicas (SAST y DAST) para evaluar el código fuente y el comportamiento del software, respectivamente, y detectar configuraciones incorrectas y vulnerabilidades a remediar.

Seguridad por defecto

En este punto, las agencias de ciberseguridad en su guía hacen un llamado a los fabricantes para que suministren productos que los usuarios finales no tengan que esforzarse en proteger contra riesgos conocidos y prevalentes. Por defecto, sus productos deberían poseer configuraciones suficientemente seguras, como ocurre por ejemplo con los cinturones de seguridad en los automóviles nuevos, y sus clientes no tendrían que pagar sumas de dinero adicionales por otros controles de seguridad.

Además de las prácticas de seguridad por diseño, la guía sugiere que los fabricantes de tecnología informática den prioridad a las configuraciones de seguridad por defecto para su software, y proporciona recomendaciones como las siguientes:

  • Ofrecer productos que requieran establecer contraseñas sólidas durante su instalación y configuración, así como autenticación de múltiples factores para usuarios privilegiados.
  • Implementar tecnología de inicio de sesión único para que los usuarios solo tengan que ingresar sus credenciales una vez para acceder a todos los servicios que tienen permitido utilizar.
  • Proporcionar un registro de auditoría de alta calidad, en el que las actividades o incidentes dentro del producto se documenten en detalle.
  • Entregar recomendaciones sobre controles de acceso o autorizaciones basados en los roles de los usuarios, así como advertencias en caso de incumplimiento.
  • No incluir en los productos características o funciones heredadas compatibles con versiones anteriores.

“Para incentivar el cumplimiento de lo estipulado en esta guía, las agencias recomiendan a los clientes de fabricantes de software, especialmente a sus directivos, comenzar a priorizar la adquisición de productos seguros por diseño y por defecto. En Fluid Attacks sabemos que cada vez son más las organizaciones que vinculan su éxito con la seguridad de los productos y sistemas que desarrollan y/o usan. Es por esto que, acorde con lo que se expone en la guía, recomendamos, tanto para los proveedores como para los consumidores de tecnología informática, la realización de pruebas integrales y continuas de seguridad con técnicas manuales y automatizadas que contribuyan a garantizar que sus productos sean lo suficientemente seguros, representando una mínima exposición al riesgo”, concluye Felipe Gómez.

Fuente. Fluid Attacks

Walmart
INOR
Agexport
Mónica Eventos y Bodas
Cuba Energy Summit
MAD-HAV Enjoy Travel Group
Herbalife
INTERFER
Nestle
blackanddecker
Servicios Médicos Cubanos
MITM Events
MuniGuate
Barceló Solymar
Cervecería Centroamericana S.A.
Intecap
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
AVA Resorts
Realidad Turística
Grupo Hotelero Islazul
CUN-HAV Enjoy Travel Group
Instituto Hondureño de Turismo
Los Portales

Related Articles

Walmart
CUN-HAV Enjoy Travel Group
Cuba Energy Summit
Instituto Hondureño de Turismo
Mónica Eventos y Bodas
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Nestle
Los Portales
AVA Resorts
Intecap
Realidad Turística
Cervecería Centroamericana S.A.
MAD-HAV Enjoy Travel Group
Servicios Médicos Cubanos
Agexport
MuniGuate
INTERFER
Barceló Solymar
Herbalife
Grupo Hotelero Islazul
blackanddecker
MITM Events
INOR

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí
Captcha verification failed!
La puntuación de usuario de captcha falló. ¡por favor contáctenos!

Instituto Hondureño de Turismo
Intecap
AVA Resorts
Los Portales
Agexport
MITM Events
Walmart
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Mónica Eventos y Bodas
Nestle
Barceló Solymar
MAD-HAV Enjoy Travel Group
Grupo Hotelero Islazul
Herbalife
Realidad Turística
INOR
Cuba Energy Summit
INTERFER
blackanddecker
CUN-HAV Enjoy Travel Group
Cervecería Centroamericana S.A.
MuniGuate
Servicios Médicos Cubanos
- Advertisement -
MuniGuate
Intecap
AirEuropa
Henkel Latinoamerica
Havanatur
Barcelo Guatemala City
Blue Diamond Resorts
INTERFER
Hotel Barcelo Solymar
Cubacel
Maggi - GLUTEN-FREE
Revista Colombiana de Turismo Passport

Lo más leído...

- Advertisement -
Maggi - GLUTEN-FREE
Blue Diamond Resorts
MuniGuate
Barcelo Guatemala City
Revista Colombiana de Turismo Passport
Cubacel
AirEuropa
Henkel Latinoamerica
INTERFER
Havanatur
Intecap
Hotel Barcelo Solymar