Seguridad por diseño y por defecto, la nueva tendencia de ciberseguridad

Para entregar productos de software más seguros, la seguridad debe incorporarse desde las primeras etapas del desarrollo, señala la guía “Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and Default”, publicada recientemente por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) en conjunto con el FBI, la Agencia de Seguridad Nacional (NSA) de los EE.UU. y las autoridades de ciberseguridad de Nueva Zelanda, Países Bajos, Alemania, Reino Unido, Canadá y Australia.

“Muchos proveedores de tecnología todavía están rezagados en lo que respecta a asegurar o proteger los productos que desarrollan y comercializan; incluso se desentienden de esta responsabilidad. Por esta razón, suelen ser los clientes quienes deben responsabilizarse de monitorear su seguridad y de reducir y responder a los riesgos cibernéticos. La guía a la que nos referimos hace un llamado a los fabricantes de tecnología para que renueven sus programas de diseño y desarrollo, y así permitan que solamente sean enviados a los clientes productos seguros por diseño y por defecto. Estos productos tendrían la seguridad de los clientes como objetivo fundamental y no requerirían cambios de configuración ni pagos adicionales por funciones en pro de la seguridad”, señaló Felipe Gómez, director regional de Fluid Attacks.

Seguridad por diseño

Felipe Gómez

La seguridad por diseño implica que los fabricantes reconozcan desde un principio a qué tipo de ciberamenazas se enfrentarán sus productos y que, en función de ellas, apliquen buenas prácticas de desarrollo e implementen los controles de seguridad necesarios. Según Fluid Attacks, esto requiere que la seguridad sea una prioridad empresarial y que se inviertan recursos en características y mecanismos básicos que ubiquen la protección del cliente por encima de todo.

Si bien esto podría aumentar los costos en las fases iniciales del ciclo de vida de desarrollo de software, a largo plazo se reducirían los costos de mantenimiento y remediación de vulnerabilidades.

De acuerdo con la guía de la CISA, para aplicar la seguridad por diseño es útil recurrir a publicaciones como la “Secure Software Development Framework” del NIST (Instituto Nacional de Estándares y Tecnología), que sugieren prácticas para que las empresas identifiquen, eliminen y prevengan vulnerabilidades de seguridad, y puedan mitigar los riesgos que estas representan.

Felipe Gómez recomienda algunas prácticas, tales como:

• Emplear lenguajes de programación que gestionen automáticamente la memoria y no requieran que se agregue código para protegerla, como Java, Ruby o Rust.
• Diseñar una infraestructura que permita que el sistema en su conjunto no se vea afectado cuando se ve comprometido algún control de seguridad.
• Adquirir y mantener componentes de software de terceros seguros.
• Generar un inventario detallado de los componentes o recursos utilizados en el software y sus dependencias.
• Requerir la revisión del código por parte de otros desarrolladores.
• Aplicar pruebas de seguridad de aplicaciones estáticas y dinámicas (SAST y DAST) para evaluar el código fuente y el comportamiento del software, respectivamente, y detectar configuraciones incorrectas y vulnerabilidades a remediar.

Seguridad por defecto

La guía de las agencias de ciberseguridad hace un llamado a los fabricantes para que suministren productos que los usuarios finales no tengan que esforzarse por proteger contra riesgos conocidos y prevalentes. Por defecto, señalan los expertos, sus productos deberían poseer configuraciones suficientemente seguras, como ocurre –por ejemplo– con los cinturones de seguridad en los automóviles nuevos, y sus clientes no tendrían que pagar sumas de dinero adicionales por otros controles de seguridad.

Además de las prácticas de seguridad por diseño, la guía sugiere que los fabricantes de tecnología informática den prioridad a las configuraciones de seguridad por defecto para su software, y proporciona recomendaciones como las siguientes:

• Ofrecer productos que requieran establecer contraseñas sólidas durante su instalación y configuración, así como autenticación de múltiples factores para usuarios privilegiados.
• Implementar tecnología de inicio de sesión único para que los usuarios solo tengan que ingresar sus credenciales una vez para acceder a todos los servicios que tienen permitido utilizar.
• Proporcionar un registro de auditoría de alta calidad, en el que las actividades o incidentes dentro del producto se documenten en detalle.
• Entregar recomendaciones sobre controles de acceso o autorizaciones basados en los roles de los usuarios, así como advertencias en caso de incumplimiento.
• No incluir en los productos características o funciones heredadas compatibles con versiones anteriores.

El director regional de Fluid Attacks dijo que, para incentivar el cumplimiento de lo estipulado en la guía, las agencias están recomendado a los clientes de los fabricantes de software, especialmente los directivos, que comiencen a priorizar la adquisición de productos seguros por diseño y por defecto.

“En Fluid Attacks, sabemos que cada vez son más las organizaciones que vinculan su éxito con la seguridad de los productos y sistemas que desarrollan y/o usan. Es por esto por lo que, acorde con lo que se expone en la guía, recomendamos, tanto para los proveedores como para los consumidores de tecnología informática, la realización de pruebas integrales y continuas de seguridad con técnicas manuales y automatizadas que contribuyan a garantizar que sus productos sean lo suficientemente seguros, representando una mínima exposición al riesgo”, subrayó el ejecutivo.