En el segundo trimestre de 2023, las organizaciones enfrentaron en promedio 1.258 ataques por semana, lo que marca la tasa de ataques semanales más alta a nivel mundial en dos años.

A medida que las ciberamenazas continúan aumentando y evolucionando, las agencias federales de EE. UU. como CISA, NSA y FBI, así como socios internacionales en Australia, Canadá, Reino Unido, Alemania, Países Bajos, Nueva Zelanda, República Checa, Israel, Singapur, Corea del Sur, Noruega y Japón, exigen que los proveedores de tecnología asuman más responsabilidad por la seguridad de sus productos, en lugar de depender de que los clientes realicen monitoreo constante, actualizaciones rutinarias y mitigación de daños en estos productos.

Al trasladar la carga de los consumidores y pequeñas organizaciones que utilizan la tecnología a los proveedores y desarrolladores de tecnología, estas agencias creen que el mundo estará mejor preparado para comprender, gestionar y reducir el riesgo para la infraestructura cibernética y física de la que las personas dependen a diario.

Para lograr este futuro, la CISA y sus socios internacionales exigen que cada proveedor de tecnología asuma a nivel de liderazgo la responsabilidad de garantizar que sus productos sean seguros por diseño. A continuación, echamos un vistazo más detallado a lo que significa este concepto y cómo se puede implementar de manera efectiva.

¿Qué significa seguro por diseño?

Seguro por diseño es un enfoque para el desarrollo de software en el que la seguridad no se prioriza como una función técnica o un pensamiento posterior, sino como un requisito comercial fundamental. Al adoptar este enfoque, los proveedores de tecnología incorporan la seguridad en el proceso de diseño así como en cada otra etapa del ciclo de vida de un producto para identificar y mitigar potenciales vulnerabilidades antes de que lleguen al mercado. El objetivo final es crear un futuro en el que los consumidores confíen en la seguridad e integridad de la tecnología que utilizan diariamente.

Para lograr esto, las organizaciones deben desarrollar productos que sean tanto seguros por diseño como seguros por defecto.

Los productos que son seguros por diseño se desarrollan, construyen, prueban y mantienen intencionadamente para minimizar el número de vulnerabilidades explotables antes de su lanzamiento al mercado. Los productos que son seguros por defecto son productos que se pueden usar de forma segura inmediatamente después de sacarlos de la caja. Esto significa que están diseñados para ser resistentes a las amenazas comunes, vulnerabilidades y técnicas de explotación sin que los usuarios finales tengan que tomar medidas adicionales para asegurar estos productos. Estos productos tienen configuraciones y funciones de seguridad habilitadas por defecto, como autenticación multifactor (MFA), registros y Single Sign-On (SSO), que están disponibles sin costos adicionales o licencias requeridas.

La provisión de productos que sean seguros por diseño y seguros por defecto reducirá significativamente el número de vulnerabilidades explotables que pueden llevar a ciberataques e infracciones. A continuación, analizamos con más detalle por qué esto es importante.

¿Por qué es importante ser "Seguro por Diseño"?

Dado que la amenaza de actividades cibernéticas maliciosas tanto de actores criminales como estatales sigue aumentando, es más importante que nunca para los fabricantes de tecnología producir productos más seguros para proteger a los clientes.

Históricamente, los fabricantes de tecnología han confiado en que los clientes identifiquen las vulnerabilidades después del despliegue de sus productos. Luego, los fabricantes buscan soluciones para corregir las vulnerabilidades, emiten parches y exigen a los clientes que apliquen estos parches lo más rápido posible y a su propio costo. Esto deja a los clientes susceptibles a incidentes de seguridad que pueden afectar su prosperidad económica, su sustento e incluso su salud. Un ejemplo de esto es la tecnología insegura en la infraestructura sanitaria, que ha obligado a hospitales y otras instalaciones de salud a cancelar operaciones, desviar a los pacientes a otras instalaciones y no poder cumplir con las recetas.

"Seguro por Diseño" cambia esta dinámica. En lugar de esperar que los clientes apliquen continuamente parches, supervisen protocolos, proporcionen guías de seguridad y compren productos de seguridad para asegurar los productos que compraron, los fabricantes de tecnología deben crear y entregar productos seguros desde el principio. Para esto, deben integrar la seguridad desde el inicio en los productos, incluso antes de que comience el proceso de desarrollo, para eliminar clases de vulnerabilidades o defectos del producto que puedan comprometer la seguridad de sus clientes.

Al eliminar sistemáticamente las vulnerabilidades antes del despliegue en lugar de lidiar con las consecuencias de su presencia después del despliegue, los fabricantes de tecnología que aplican "Seguro por Diseño" pueden ayudar a defender infraestructuras críticas y mejorar la seguridad global.

Ahora que entendemos la importancia, profundicemos en los principios de "Seguro por Diseño" a continuación.

Principios de "Seguro por Diseño"

En una directiva conjunta publicada originalmente en abril de 2023 y actualizada en octubre del mismo año, la CISA y otras agencias emisoras definen tres principios para guiar a los fabricantes de tecnología en la reformulación de sus procesos de diseño y desarrollo para crear y entregar productos más seguros.

1. Adopción de los objetivos de seguridad de los clientes.

Un principio fundamental del diseño para seguridad (Security by Design) consiste en trasladar la carga de la seguridad de las partes "menos competentes", incluidos clientes, pequeñas empresas, escuelas, gobiernos locales y estatales, a las partes más competentes, es decir, a los grandes fabricantes de tecnología. Estos fabricantes deben asumir la plena responsabilidad de los resultados de seguridad que surgen de la compra de sus productos y desarrollar sus productos en consecuencia.

2. Adoptar la transparencia y responsabilidad radical

Otro principio fundamental del diseño para seguridad es que los fabricantes de software deben avanzar con transparencia y responsabilidad radical compartiendo la información que obtienen de sus implementaciones de productos y vulnerabilidades. Esto puede incluir la publicación de estadísticas y tendencias sobre sus productos (como el porcentaje de clientes que utilizan la versión más reciente del producto), así como avisos detallados sobre vulnerabilidades y registros compartidos de vulnerabilidades y exposiciones (CVEs). El objetivo de este intercambio de información es ayudar a otros fabricantes a saber qué deben o no deben hacer.

3. Liderazgo desde arriba

El último principio consiste en lograr un compromiso a nivel de liderazgo para garantizar que la seguridad se trate como una prioridad empresarial y como un requisito crítico en el diseño y desarrollo de productos. Los líderes deben desempeñar un papel clave en:

• Aumentar la responsabilidad por la seguridad más allá del departamento de TI
• Asignar recursos para garantizar que la seguridad del software sea una prioridad empresarial desde el principio
• Crear incentivos internos para que la seguridad sea un requisito de diseño
• Fomentar una cultura en la que la seguridad sea imperativa para los negocios
• Mantener una línea de comunicación abierta para comentarios internos y externos sobre problemas de seguridad de los productos

Implementación de principios del diseño para seguridad

Ahora que entendemos los principios fundamentales del diseño para seguridad, exploremos algunos métodos tácticos que puede implementar en su organización. Nos hemos centrado en los puntos clave de la lista completa que se encuentra en la publicación oficial de la CISA.

1. Establecer una cultura de seguridad y un sistema de responsabilidad

El diseño para seguridad requiere un cambio de mentalidad dentro de su organización para priorizar la seguridad junto con otros objetivos comerciales, como el tiempo de lanzamiento al mercado y la expansión de funciones. Esto requiere la participación de las partes interesadas en todos los niveles, desde líderes hasta desarrolladores, así como un sistema de responsabilidad por los resultados de seguridad de los clientes.

Aquí hay algunas formas de promover una cultura de seguridad y responsabilidad:

• Organizar reuniones regulares con la administración para promover la importancia del diseño para seguridad dentro de la organización.
• Establecer políticas y procedimientos para recompensar a los equipos de producción que desarrollen productos que cumplan con los principios y estándares del diseño para seguridad.
• Invertir en capacitación en seguridad para los empleados.
• Designar a un líder o equipo de seguridad de software que mantenga las prácticas comerciales y de TI para vincular los estándares de seguridad del software directamente con la responsabilidad del fabricante.
• La alta dirección debe responsabilizar a los equipos por la entrega de productos seguros, caracterizando claramente la seguridad como una subcategoría de la calidad del producto.

2. Integrar la seguridad en los requisitos previos al desarrollo

Los requisitos de seguridad deben definirse claramente junto con los requisitos funcionales desde el principio del proceso de desarrollo. Esto asegura que los aspectos de seguridad se consideren desde el principio en el diseño y desarrollo del software, lo que contribuye a aumentar la calidad del producto, la eficiencia del equipo de desarrollo y la seguridad de los clientes.

3. Usar un modelo de amenazas personalizado durante el desarrollo.

La modelización de amenazas es un proceso estructurado y repetible que se utiliza para obtener conocimientos accionables sobre la seguridad de un sistema. Permite a los equipos de desarrollo comprender cómo los oponentes podrían explotar las debilidades de un sistema y determinar las respuestas y medios para fortalecer el sistema en consecuencia. La modelización de amenazas debe realizarse temprano en el ciclo de vida del desarrollo del software, como durante la fase de diseño, a lo largo de todo el ciclo de vida y revisarse al menos una vez al año para que el modelo de amenazas se mantenga y perfeccione paralelamente al sistema.

El uso de un modelo de amenazas adaptado a un producto específico y su caso de uso permite a su equipo priorizar las características de seguridad más críticas y de mayor impacto.

4. Aplicar prácticas de codificación segura.

Los desarrolladores desempeñan un papel crucial en la implementación de los principios de diseño seguro. Deben estar capacitados en prácticas de codificación segura y pruebas de vulnerabilidades, y contar con herramientas y marcos que faciliten el desarrollo seguro.

Algunas prácticas recomendadas incluyen:

• Uso de consultas parametrizadas
• Uso de un lenguaje de programación seguro para la memoria
• Uso de una gestión criptográfica de claves basada en hardware

5. Implementar múltiples capas de defensa.

Implementar múltiples mecanismos de defensa, en lugar de confiar en un único nivel de seguridad, puede ayudar a prevenir que actores malintencionados comprometan sistemas u obtengan acceso no autorizado a datos sensibles. Esta estrategia de seguridad se conoce como defensa en profundidad e puede incluir la aplicación de las siguientes contramedidas:

• Firewalls
• Sistemas de detección de intrusos
• Cifrado
• Actualizaciones de seguridad periódicas

6. Definir parámetros de seguridad y valores predeterminados seguros.

En lugar de confiar en que los administradores tengan el tiempo, la experiencia y el conocimiento para asegurar las configuraciones de las aplicaciones y hacer más seguro un producto, los componentes y configuraciones del sistema deben ser seguros por defecto. Esto implica desactivar servicios innecesarios, habilitar el cifrado y seguir las mejores prácticas para la autenticación y el control de acceso, incluidas las reglas de mínimo privilegio y separación de responsabilidades.

Además de la configuración segura por defecto, los sistemas también deben tener mecanismos de seguridad para prevenir el acceso no autorizado o la pérdida de datos en caso de una vulneración de seguridad. Esto podría incluir la implementación de controles de acceso basados en roles, procedimientos de respaldo de datos y planes de recuperación ante desastres.

7. Automatizar las pruebas de seguridad.

Las herramientas automáticas de pruebas de seguridad pueden ayudar a identificar vulnerabilidades temprano en el proceso de desarrollo, de modo que los desarrolladores puedan corregirlas antes de que se conviertan en riesgos de seguridad graves. Entre ellas se incluyen:

• Herramientas de análisis estático para la revisión de código
• Herramientas de análisis dinámico para probar el comportamiento en tiempo de ejecución
• Herramientas de pruebas de penetración para simular ataques reales
• Análisis y monitoreo continuos para asegurar el cumplimiento y la adherencia a las configuraciones base.

8. Establecer un programa robusto de gestión de vulnerabilidades.

Un programa robusto para la gestión de vulnerabilidades puede ayudar a su organización a priorizar las vulnerabilidades según el riesgo y la exposición, prevenir la introducción de vulnerabilidades conocidas, mantener el cumplimiento de los estándares y regulaciones de seguridad, minimizar la superficie de ataque general y comprender y mejorar su postura de seguridad.

Su programa de gestión de vulnerabilidades no debe centrarse solo en la corrección de vulnerabilidades descubiertas interna o externamente. En cambio, debe centrarse en el análisis de vulnerabilidades y sus causas raíz, y luego tomar las medidas necesarias para eliminar clases completas de vulnerabilidades, con el fin de mejorar la seguridad de su producto y de toda la industria del software.

9. Monitoreo continuo y alertas

La seguridad es un proceso continuo que requiere monitoreo continuo y mejora constante. Las organizaciones deben establecer procesos para monitorear su infraestructura de TI, sistemas y aplicaciones, a fin de detectar amenazas y vulnerabilidades potenciales en tiempo real. Se recomienda una combinación de procesos manuales y automatizados, ya que la automatización puede hacer que la supervisión continua sea más rentable, consistente y efectiva.

10. Publicar una política de divulgación de vulnerabilidades.

Los adversarios seguirán explotando vulnerabilidades tecnológicas y productos que

aunque sean seguros por diseño, continuarán presentando vulnerabilidades. Sin embargo, los fabricantes de tecnología pueden ayudar a identificar y documentar las causas subyacentes que conducen a una cantidad relativamente grande de vulnerabilidades, para que puedan ser abordadas. Una de las principales formas de hacer esto es publicar una política de divulgación de vulnerabilidades. Esta debería

• permitir pruebas en todos los productos ofrecidos por el fabricante y explicar las condiciones de estas pruebas
• brindar certeza legal para las acciones realizadas de acuerdo con la política
• permitir la divulgación pública de vulnerabilidades después de un período de tiempo específico
• integrarse en su proceso de gestión de vulnerabilidades para abordar realmente la causa raíz de las vulnerabilidades identificadas

Desafíos y consideraciones en la implementación de principios de diseño de seguridad

Aunque el diseño de seguridad ofrece muchos beneficios en términos de reducción de riesgos de seguridad y minimización del impacto de los incidentes de seguridad, también presenta algunos desafíos y consideraciones que las organizaciones deben abordar

1. Equilibrio entre seguridad y facilidad de uso

A menudo hay un compromiso entre la seguridad y otros requisitos comerciales, en particular la usabilidad. La implementación de ciertas medidas de seguridad, como la autenticación multifactor o las actualizaciones automáticas, puede obstaculizar a los usuarios o interrumpir su flujo de trabajo. Encontrar el equilibrio adecuado entre seguridad y usabilidad es crucial para garantizar que el software sea seguro y funcional.

2. Aumento de los costos de desarrollo

La CISA y sus socios reconocen que la implementación de los principios de seguridad por diseño puede aumentar los costos de desarrollo. Este punto delicado será particularmente evidente para las pequeñas organizaciones. Sin embargo, creen que la inversión en prácticas de seguridad por diseño es valiosa para el desarrollo de nuevos productos tecnológicos y el mantenimiento de los existentes, a pesar de los costos iniciales, ya que esto puede:

• Mejorar significativamente la postura de seguridad de los clientes y reducir la probabilidad de compromiso
• Fortalecer la reputación de la marca para los desarrolladores
• Reducir a largo plazo los costos de mantenimiento y reparación para los fabricantes

3. Restricciones de recursos

Además del presupuesto, la implementación de principios de seguridad por diseño requiere recursos dedicados, incluidos tiempo, experiencia y apoyo de la gerencia. Las startups y las pequeñas y medianas empresas con recursos limitados pueden tener dificultades para priorizar la seguridad por encima de otras prioridades competitivas.

Sin embargo, la seguridad por diseño se convertirá en un estándar esperado, ya que los clientes demandarán productos seguros de sus proveedores de tecnología. Además, garantizar la seguridad por diseño al construir su infraestructura ahorrará tiempo y recursos una vez que su producto esté en el mercado y pueda concentrarse en necesidades comerciales más urgentes. Todos los proveedores deben comenzar a implementar estos principios, incluso si no pueden igualar la velocidad y el alcance de los proveedores más grandes.

4. Mantenerse al día con las amenazas en evolución

Las amenazas cibernéticas están en constante evolución, lo que dificulta que las organizaciones sigan el ritmo de los riesgos emergentes. La implementación de principios de seguridad por diseño requiere un enfoque proactivo. Las organizaciones deben mantenerse actualizadas sobre las últimas tendencias y tecnologías en el campo de la seguridad y actualizar regularmente sus medidas de seguridad para adaptarse a las amenazas en evolución. La automatización puede ayudar a las organizaciones a superar este desafío.

5. Sistemas obsoletos y deudas técnicas

Las organizaciones con sistemas obsoletos pueden enfrentar dificultades para implementar principios de seguridad por diseño debido a deudas técnicas, tecnologías anticuadas y problemas de compatibilidad. En tales casos, las organizaciones pueden necesitar priorizar las medidas de modernización o implementar controles compensatorios y capas adicionales de seguridad para mitigar los riesgos.

Cómo Secureframe puede ayudar

La seguridad por diseño representa un cambio de paradigma en el desarrollo de software, enfatizando la importancia de integrar principios y prácticas de seguridad en cada etapa del ciclo de desarrollo. Al adoptar un enfoque de seguridad proactivo, las organizaciones pueden reducir el riesgo de violaciones de seguridad, proteger datos sensibles y salvaguardar su reputación y resultado final.

Secureframe puede simplificar la implementación de prácticas de seguridad por diseño. Con nuestra plataforma de automatización y nuestro equipo interno de expertos en cumplimiento y seguridad, usted puede:

• Ayude a determinar principios de seguridad desde la integración con su pila tecnológica para identificar brechas de seguridad y cumplimiento.
• Monitoree automáticamente sus redes, dispositivos y aplicaciones para evaluar la postura de configuración y recopilar evidencia JSON en bruto, demostrando adherencia a los estándares de cumplimiento y controles de seguridad empresarial.
• Reciba alertas sobre desconfiguraciones detectadas mediante Slack, Jira, correo electrónico o directamente en la plataforma.
• Aborde rápidamente las desconfiguraciones de infraestructura siguiendo el consejo de remediación paso a paso, o use Comply AI para remediar rápidamente desconfiguraciones en la nube con infraestructura como código.
• Desarrolle controles personalizados que se alineen con sus requisitos específicos de TI y monitoree sistemáticamente estos controles para asegurarse de que se alineen con sus objetivos empresariales.
• Monitoree los dispositivos de los empleados para verificar el cumplimiento de los requisitos y supervise su acceso a los proveedores dentro de su ecosistema, asegurándose que el acceso sea lo menos privilegiado posible.
• Integre su plataforma en la nube y herramientas de desarrollo para ver todas sus vulnerabilidades de servicios como AWS Inspector y Github en un solo lugar.
• Complete un cuestionario de riesgos anual y cree su registro de riesgos donde puede gestionar continuamente los riesgos de TI a lo largo del año.
• Obtenga consejos y respuestas a todas sus preguntas de los gerentes de cumplimiento.
• Acceda a una red de socios de confianza, auditores y empresas de pruebas de penetración.

Obtenga más información sobre cómo Secureframe puede ayudarlo a construir y mantener productos seguros y conformes programando una demostración personalizada hoy.