El enfoque de una organización con respecto a la ciberseguridad debe evolucionar constantemente a medida que aumentan las superficies de ataque y se adquiere más conocimiento sobre las amenazas potenciales. Al comprender que las amenazas pueden provenir de cualquier punto de la cadena de suministro de software, el enfoque Secure by Design integra la seguridad en las fases de diseño, programación, prueba e implementación del desarrollo de software. Como estándar para las agencias federales de Estados Unidos, y para cualquier organización que utilice su software, el enfoque Secure by Design se ha convertido en un verdadero punto de referencia para integrar la seguridad en el ciclo de desarrollo de software.
Con el tiempo, el concepto Secure by Design se ha diversificado en conceptos relacionados como Secure by Default y Secure by Demand, que enfatizan diferentes estrategias para implementar los principios de Secure by Design:
- Secure by Default se centra en garantizar que todos los productos de software sean seguros desde el primer momento.
- Secure by Demand amplía los principios del concepto Secure by Design al proceso de adquisiciones.
A continuación, presentamos un análisis más detallado de los principios de Secure by Design y de estos enfoques relacionados, así como una guía paso a paso sobre cómo las organizaciones pueden adaptar sus estrategias para prevenir vulnerabilidades explotables y ataques a la cadena de suministro de software.
¿En qué consiste el concepto Secure by Design?
La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) de los Estados Unidos presentó su Iniciativa Secure by Design en abril de 2023, con un enfoque en tres principios clave de seguridad de software:
- Asumir la responsabilidad de los resultados de seguridad del cliente
- Adoptar la transparencia y la rendición de cuentas radicales
- Establecer una estructura organizativa y un liderazgo para lograr estos objetivos
El concepto Secure by Design integra principios y protocolos de seguridad en cada etapa del proceso de desarrollo de software. Esto significa que las medidas de seguridad se integran en las fases de diseño, programación, pruebas e implementación del desarrollo de software, en lugar de añadirse como un aspecto secundario.
El objetivo del concepto Secure by Design es crear una estructura segura para el software desde el principio, reduciendo así las vulnerabilidades y superficies de ataque potenciales.### ¿En qué consiste el concepto Secure by Default?
Secure by Default es una rama de Secure by Design que se centra en garantizar que cualquier software o hardware se configure en su forma más segura sin que el usuario deba realizar ajustes adicionales. Los productos que implementan los principios de Secure by Default habilitan automáticamente los controles de seguridad más importantes necesarios para proteger a las organizaciones contra el acceso no autorizado por parte de actores malintencionados. Esto significa que significa que los usuarios no tienen tomar medidas adicionales para garantizar que un producto esté protegido contra las técnicas de explotación más comunes.
Las políticas de Secure by Default incluyen la eliminación de contraseñas predeterminadas y la obligatoriedad de la autenticación multifactor y el inicio de sesión único para permitir que solo los usuarios autorizados accedan a los recursos. Este enfoque también incluye actualizaciones y parches automáticos, así como configuraciones seguras para todas las cuentas de usuario y dispositivos.
¿En qué consiste el concepto Secure by Demand?
El concepto Secure by Demand combina los principios de Secure by Design con la planificación presupuestaria y los contratos de adquisición, con el fin de impulsar Secure by Design como un mandato tanto para proveedores como para contratistas. La Guía Secure by Demand de CISA proporciona un conjunto de preguntas y recursos que los clientes de software y responsables de compras pueden utilizar para comprender mejor el enfoque de un proveedor potencial hacia la ciberseguridad. Incluye preguntas sobre las prácticas de autenticación del proveedor, la seguridad de la cadena de suministro de software y la divulgación y reporte de vulnerabilidades.
Al exigir a los proveedores que se adhieran a los principios y protocolos de Secure by Design en sus productos y servicios, las organizaciones pueden ayudar a prevenir que vulnerabilidades potenciales ingresen a su cadena de suministro de software. El enfoque Secure by Demand también incentiva a los proveedores a mejorar continuamente su propia postura de ciberseguridad.
Desarrollar una estrategia de ciberseguridad que cumpla con los principios de Secure by Design
A medida que las organizaciones priorizan la transición hacia un modelo Secure by Design, deben cumplir con determinados pasos que incluyen la implementación de prácticas efectivas de DevSecOps, el mantenimiento de una lista de materiales de software (SBOM) y la integración de IA para defenderse contra las amenazas que puedan surgir en cualquier etapa del ciclo de desarrollo de software.
Adoptar prácticas de DevSecOps
Una de las primeras medidas para respaldar una postura Secure by Design es un proceso de desarrollo de software seguro: desarrollar, construir, proteger e implementar software utilizando un enfoque integral de DevSecOps.
Hoy en día, muchos desarrolladores utilizan herramientas complejas para crear nuevos programas. Según una encuesta reciente de GitLab, el 62 % de los participantes utiliza 6 o más herramientas para el desarrollo de software, y un 20 % utiliza 11 o más. Esta situación genera ineficiencias que incrementan el riesgo al introducir posibles vulnerabilidades de seguridad.
Los desarrolladores deberían poder acceder a todas las herramientas necesarias para los flujos de trabajo de DevSecOps en una interfaz única y fácil de usar. Con una solución de extremo a extremo, como una plataforma de DevSecOps, las organizaciones pueden implementar un enfoque Secure by Design sin aumentar la carga para los desarrolladores.
Crear y mantener SBOM
Adoptar la transparencia es otro aspecto importante del concepto Secure by Design. Las organizaciones deben comprender qué contiene su software, especialmente cuando puede incluir componentes de múltiples fuentes.Las SBOM son herramientas esenciales para lograr esta transparencia. Proporcionan inventarios detallados de componentes de software, que incluye información sobre versiones, licencias y dependencias, lo que permite una mayor conciencia sobre posibles vulnerabilidades o código malicio.
Mantener este inventario permite a las organizaciones comprender plenamente las vulnerabilidades y riesgos potenciales que podrían surgir cuando se incorporan elementos de repositorios de código abierto y componentes de terceros con licencia. Una plataforma de DevSecOps puede ayudar a generar y actualizar automáticamente SBOM, integrarlas en los flujos de trabajo existentes y vincularlas a las vulnerabilidades asociadas.
Si bien muchas organizaciones ahora utilizan las SBOM, estas deben ser dinámicas, estar conectadas a herramientas de análisis de seguridad y actualizarse de manera constante para ser completamente efectivas. Cuando se integran con herramientas de análisis y con paneles de control, las SBOM pueden proporcionar una forma de identificar los riesgos asociados a una aplicación. Incluso cuando no son necesarias, las SBOM pueden respaldar el cumplimiento de las normas de seguridad al validar que el código sea seguro.
Uso de la IA en el desarrollo de software
A medida que las organizaciones exploran formas de utilizar la IA, los flujos de trabajo de desarrollo de software proporcionan un punto de entrada valioso para esta tecnología, que tiene el potencial de acelerar los procesos de desarrollo y mejorar la seguridad.
Organizaciones de todos los sectores ya están comenzando a explorar estas aplicaciones: el 39 % de los participantes de la encuesta de GitLab afirmó que ya está utilizando la IA en el ciclo de desarrollo de software.
Aplicar la IA en todo el ciclo de desarrollo de software puede ayudar a las organizaciones a prevenir los silos y los retrasos basados en la IA dentro de los flujos de trabajo de desarrollo. La IA puede desempeñar funciones clave como:
- Explicación del código y refactorización del código heredado a lenguajes con memoria segura.
- Análisis de causa raíz para pipelines de DevSecOps, que acelera la resolución de problemas complejos durante las fases de prueba.
- Resolución de vulnerabilidades para ayudar a conciliar las vulnerabilidades conocidas, apoyando una corrección más exhaustiva
Al integrar la inteligencia artificial en sus flujos de trabajo, es crucial que los líderes prioricen la privacidad y la seguridad de los datos. Un aspecto fundamental de la adopción de un enfoque Secure by Design es desarrollar una estrategia de IA que proteja los datos confidenciales y los derechos de propiedad intelectual.
Lo que sigue
Es posible que el enfoque Secure by Design pronto se convierta en el predeterminado para crear un ecosistema de software más confiable. El gobierno de Estados Unidos colabora actualmente con desarrolladores de software para establecer marcos que incentiven legalmente al sector privado a desarrollar y lanzar software Secure by Design, lo que impulsa a las empresas a realizar mayores inversiones en tecnologías y prácticas de seguridad.
Con la seguridad integrada en el desarrollo de software desde el inicio, la transparencia lograda a través de SBOM efectivas, y la IA que optimiza el proceso de desarrollo, todos los involucrados en el ciclo de desarrollo de software estarán mejor posicionados para alcanzar el éxito.
Guía para SBOM dinámicas: un elemento integral del desarrollo de software moderno
Descubre cómo obtener visibilidad sobre riesgos organizacionales previamente no identificados mediante una lista de materiales de software (SBOM).
Leer la guía