Cómo la orden ejecutiva de Biden sobre ciberseguridad puede afectar a los proveedores y desarrolladores


Aunque la mayor parte de la EO está dirigida a agencias gubernamentales, los proveedores y desarrolladores tendrán que diseñar todos sus productos con un mayor enfoque en la seguridad, según Finite Point out.

desarrollador.jpg

Imagen: iStock / deagreez

Con los ataques de ransomware que afectan cada vez más a las empresas, las agencias gubernamentales y la infraestructura crítica, el presidente Joe Biden firmó la semana pasada una orden ejecutiva (EO) diseñada para apuntalar la seguridad cibernética de la nación. Entre las siete secciones descritas en la orden, una requiere un modelo de confianza cero entre las agencias gubernamentales, otra intenta fomentar el intercambio de información entre el gobierno y el sector privado, y una tercera establece estándares de seguridad más estrictos para cualquier producto tecnológico vendido al gobierno.

VER: Lista de comprobación: evaluación de riesgos de seguridad (TechRepublic Quality)

Contenido imprescindible para desarrolladores

La mayoría de las reglas y requisitos definidos en la EO están dirigidos al gobierno. El objetivo es controlar cómo las agencias federales no solo manejan los incidentes de seguridad, sino que también obtienen y usan components y software program del sector privado. Dado que el gobierno es un comprador importante de productos tecnológicos, la esperanza es que los proveedores y desarrolladores se centren más en la seguridad, aunque solo sea para mantener contento a uno de sus principales clientes.

Pero los mismos productos que los proveedores y desarrolladores diseñan para el gobierno también terminan en manos de corporaciones y otras empresas. Idealmente, esto debería crear un efecto de goteo en el que el sector privado comience a exigir la misma atención a la seguridad que requiere el gobierno.

¿Qué significará este nuevo escenario para las empresas que crean y venden hardware y application? A informe publicado el jueves pasado por la firma de seguridad de la cadena de suministro Finite Point out ofrece consejos sobre cómo los proveedores y desarrolladores deben prepararse para seguir las pautas de la EO.

La sección 4 de la EO se denomina Mejora de la seguridad de la cadena de suministro de program. Este cita el problema de demasiados programas de computer software que carecen de transparencia, no pueden resistir los ciberataques y tienen vulnerabilidades que pueden ser explotadas por los atacantes. Para abordar este problema, los desarrolladores de software deberán ofrecer pruebas de la seguridad de sus productos, sus métodos de prueba, cualquier vulnerabilidad conocida y su proceso de seguridad en curso. Pero simplemente completar un cuestionario sobre el desarrollo de su software ya no será suficiente, según Finite Condition.

En cambio, Finite Point out insta a los desarrolladores a adoptar las siguientes prácticas:

  • Elija una persona específica para que actúe como propietario de la seguridad del producto, por ejemplo, un Oficial de seguridad del programa de contratistas (CPSO).
  • Utilice herramientas automatizadas para obtener un inventario confiable de todos los componentes de sus productos de program, incluidos los elementos de computer software de terceros.
  • Configure pruebas y remediaciones automatizadas y escalables durante todo el desarrollo de su producto.
  • Comprenda a sus propios proveedores y sus cadenas de suministro, incluido el uso de un inventario preciso y actualizado.

La Sección 3 para Modernizar la Ciberseguridad del Gobierno Federal requerirá que los desarrolladores de software empleen herramientas automatizadas o procesos similares para mantener el código fuente confiable, asegurando así su integridad.

Para cumplir con este requisito, los desarrolladores deben asegurarse de que sus equipos de ingeniería, entornos de desarrollo y todo el código fuente estén protegidos mediante las mejores prácticas en un proceso documentado, dijo Finite Point out. Una de las mejores defensas contra posibles compromisos es una ruta rastreable desde el código fuente original hasta su producto de computer software closing.

La Sección 3 también requiere que los desarrolladores utilicen herramientas automatizadas o procesos similares para verificar y resolver cualquier vulnerabilidad de seguridad potencial antes del lanzamiento del producto.

Para este, los desarrolladores deberán implementar una sólida herramienta de prueba de seguridad. Al señalar que esto puede ser un desafío cuando se realizan pruebas en entornos de dispositivos conectados o integrados, Finite State aconseja a los desarrolladores que desarrollen nuevos enfoques para las pruebas de seguridad escalables.

La sección 4 obliga a los desarrolladores a proporcionar a los clientes un Lista de materiales del program (SBOM) ya sea directamente o publicándolo en un sitio website público. Un SBOM es una lista de todos los componentes que componen un programa de computer software.

Crear un SBOM puede ser complicado ya que muchas aplicaciones contienen componentes de código abierto y de terceros en lugar de simplemente líneas de código. Hay muchas herramientas comerciales y de código abierto disponibles que pueden ayudar a generar el SBOM, según Finite Condition, pero necesitará dedicar tiempo a capacitar al personal y desarrollar los procesos correctos.

Otro elemento de la sección 4 requiere que los desarrolladores y proveedores proporcionen a los clientes detalles sobre las herramientas y los procesos utilizados para probar y garantizar la seguridad de un producto. Para este, Finite State les dice a los desarrolladores que el resultado de cualquier herramienta de prueba de seguridad debe ser transparente y lo suficientemente fácil de usar para que los clientes puedan entenderlo y ofrecer comentarios sobre cualquier problema de seguridad identificado.

Finalmente, la sección 4 también requiere que los desarrolladores demuestren que están cumpliendo con las prácticas de desarrollo de application seguro. Como tal, Finite Point out les dice a los desarrolladores y proveedores que deben declarar positivamente que están cumpliendo con los requisitos de seguridad necesarios. No hacerlo podría anular un contrato gubernamental específico, dar lugar a una investigación e incluso bloquearlos de futuros contratos gubernamentales.

«En última instancia, esta orden ejecutiva marca una nueva era para la seguridad cibernética que pone a los reguladores, desarrolladores y fabricantes, y a la comunidad de seguridad cibernética en common, firmemente en la misma página, hablando el mismo idioma», dijo Finite Condition en su informe. actuar con confianza y con las organizaciones para construir su infraestructura de seguridad para respaldar sus necesidades. El resultado last será un ecosistema nacional más seguro y seguro que nos responsabiliza a todos «.

Ver también



Enlace a la noticia first