Varias organizaciones de ciberseguridad en todo el mundo han publicado conjuntamente una nueva serie de pautas para ayudar a los fabricantes a priorizar las prácticas de seguridad por diseño y por defecto en los productos.
La guía, Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default, se publicó el pasado jueves y ofrece recomendaciones técnicas específicas, además de delinear los principios básicos.
El documento ha sido desarrollado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad Nacional (NSA) y las autoridades de ciberseguridad de Australia, Canadá, el Reino Unido, Alemania, Países Bajos y Nueva Zelanda.
Los organismos participantes proponen que la responsabilidad hacia la ciberseguridad se traslade del uso del producto al desarrollo del mismo. “Para crear un futuro en el que la tecnología y los productos asociados sean más seguros para los clientes, las agencias de creación instan a los fabricantes a renovar sus programas de diseño y desarrollo para permitir que solo se envíen a los clientes productos seguros por diseño y predeterminados”, dice el documento.
Los principios de seguridad desde el diseño reconocen que no evitarán todos los problemas, y probablemente aumentarán los costes de desarrollo, pero mejoran la ciberseguridad y reducen los costes continuos de mantenimiento y parches de los desarrolladores.
En el documento también se puede leer que “los productos que son seguros por diseño son aquellos en los que la seguridad de los clientes es un objetivo comercial central, no solo una característica técnica”. De forma que “los productos seguros por diseño comienzan con ese objetivo antes de que comience el desarrollo. Los productos seguros por defecto son aquellos que son seguros para usar ‘listos para usar’ con pocos o ningún cambio de configuración necesario y características de seguridad disponibles sin costo adicional”.
Entre los principios propuestos está el uso de lenguajes de programación seguros para la memoria, com Rust, Go, Python y Java. También se anima al uso de una base de hardware seguro así como componentes de software seguros para evitar ataques de inyección SQL y pruebas SAST y DAST. Estos deben estar respaldados por revisiones de código, SBOM, programas de divulgación de vulnerabilidades y más.
