La guía “Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default” (Cambiar el equilibrio del riesgo de ciberseguridad: principios y enfoques para la seguridad por diseño y por defecto) fue publicada recientemente por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), junto con la Agencia de Seguridad Nacional (NSA) de los EE.UU., el FBI y las autoridades de ciberseguridad de Nueva Zelanda, Países Bajos, Alemania, Reino Unido, Canadá y Australia. Fue presentada como referencia, especialmente dirigida a los fabricantes de tecnología de la información, para incorporar la seguridad desde las primeras etapas del desarrollo de software, con el objetivo de entregar productos más seguros a los clientes. Fluid Attacks, compañía especializada en realizar pruebas de seguridad integrales y continuas en aplicaciones y otros sistemas informáticos, nos explica la importancia de ejecutar lo sugerido en dicha guía.
Felipe Gómez, Director Regional de Fluid Attacks, señala que “muchos proveedores de tecnología todavía están rezagados en lo que respecta a asegurar o proteger los productos que desarrollan y comercializan; incluso se desentienden de esta responsabilidad. Por esta razón, suelen ser los clientes quienes deben responsabilizarse de monitorear su seguridad y de reducir y responder a los riesgos cibernéticos. La guía a la que nos referimos hace un llamado a los fabricantes de tecnología para que renueven sus programas de diseño y desarrollo, y así permitan que solamente sean enviados a los clientes productos seguros por diseño y por defecto. Estos productos tendrían la seguridad de los clientes como objetivo fundamental y no requerirían cambios de configuración ni pagos adicionales por funciones en pro de la seguridad”.
Seguridad por diseño
La seguridad por diseño implica que los fabricantes reconozcan desde un principio a qué tipo de ciberamenazas se enfrentarán sus productos y que en función de ellas apliquen buenas prácticas de desarrollo e implementen los controles de seguridad necesarios. Esto requiere que la seguridad sea una prioridad empresarial y que se inviertan recursos en características y mecanismos básicos que ubiquen la protección del cliente por encima de todo. Si bien esto podría aumentar los costos en las fases iniciales del ciclo de vida de desarrollo de software, a largo plazo se reducirían los costos de mantenimiento y remediación de vulnerabilidades.
De acuerdo con la guía, para la seguridad por diseño es útil recurrir a publicaciones como la “Secure Software Development Framework” de NIST (Instituto Nacional de Estándares y Tecnología) que sugieren prácticas que permiten a las empresas identificar, eliminar y prevenir vulnerabilidades de seguridad, así como mitigar los riesgos que estas representan. Algunas prácticas recomendadas son las siguientes:
- Emplear lenguajes de programación que gestionan automáticamente la memoria y no requieren que se agregue código para protegerla, como Java, Ruby o Rust.
- Diseñar una infraestructura que permita que el sistema en su conjunto no se vea afectado cuando se ve comprometido algún control de seguridad.
- Adquirir y mantener componentes de software de terceros seguros.
- Generar un inventario detallado de los componentes o recursos utilizados en el software y sus dependencias.
- Requerir la revisión del código por parte de otros desarrolladores.
- Aplicar pruebas de seguridad de aplicaciones estáticas y dinámicas (SAST y DAST) para evaluar el código fuente y el comportamiento del software, respectivamente, y detectar configuraciones incorrectas y vulnerabilidades a remediar.
Seguridad por defecto
En este punto, las agencias de ciberseguridad en su guía hacen un llamado a los fabricantes para que suministren productos que los usuarios finales no tengan que esforzarse en proteger contra riesgos conocidos y prevalentes. Por defecto, sus productos deberían poseer configuraciones suficientemente seguras, como ocurre por ejemplo con los cinturones de seguridad en los automóviles nuevos, y sus clientes no tendrían que pagar sumas de dinero adicionales por otros controles de seguridad.
Además de las prácticas de seguridad por diseño, la guía sugiere que los fabricantes de tecnología informática den prioridad a las configuraciones de seguridad por defecto para su software, y proporciona recomendaciones como las siguientes:
- Ofrecer productos que requieran establecer contraseñas sólidas durante su instalación y configuración, así como autenticación de múltiples factores para usuarios privilegiados.
- Implementar tecnología de inicio de sesión único para que los usuarios solo tengan que ingresar sus credenciales una vez para acceder a todos los servicios que tienen permitido utilizar.
- Proporcionar un registro de auditoría de alta calidad, en el que las actividades o incidentes dentro del producto se documenten en detalle.
- Entregar recomendaciones sobre controles de acceso o autorizaciones basados en los roles de los usuarios, así como advertencias en caso de incumplimiento.
- No incluir en los productos características o funciones heredadas compatibles con versiones anteriores.
“Para incentivar el cumplimiento de lo estipulado en esta guía, las agencias recomiendan a los clientes de fabricantes de software, especialmente a sus directivos, comenzar a priorizar la adquisición de productos seguros por diseño y por defecto. En Fluid Attacks sabemos que cada vez son más las organizaciones que vinculan su éxito con la seguridad de los productos y sistemas que desarrollan y/o usan. Es por esto que, acorde con lo que se expone en la guía, recomendamos, tanto para los proveedores como para los consumidores de tecnología informática, la realización de pruebas integrales y continuas de seguridad con técnicas manuales y automatizadas que contribuyan a garantizar que sus productos sean lo suficientemente seguros, representando una mínima exposición al riesgo”, concluye Felipe Gómez.
Fuente. Fluid Attacks
