El concepto de Secure by Design, que consiste en diseñar software con la seguridad incorporada antes de que salga de la mesa de diseño, está cambiando de forma fundamental la manera en que se desarrolla el software.   

A menudo, el software se ha diseñado con lo que se conoce como “seguridad añadida”, incorporada después de desarrollar los productos. Pero eso significa que la seguridad no es inherente a la solución. Allí donde se produce una unión entre el producto principal y un componente añadido, aparece un punto de inflexión para un ataque. 

Por eso, el compromiso de un proveedor de software con los principios de Secure by Design se ha vuelto tan importante, y por eso Ivanti fue el primer firmante del compromiso Secure by Design de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE. UU. (CISA). 

Los proveedores que firman el compromiso prometen seguir los principios establecidos por CISA. Estos hacen hincapié en integrar las medidas de seguridad en el núcleo mismo de una solución, desde su concepción inicial hasta su despliegue final. Esto hace que la solución sea inherentemente resistente a los ataques desde el primer momento, en lugar de tener que parchear vulnerabilidades tras la adopción por parte del cliente, cuando a menudo ya es demasiado tarde para contener los daños. 


Relacionado: El compromiso Secure by Design: un compromiso con la creación de un futuro digital más seguro 

Un principio fundamental del diseño de seguridad 

La sombra que ha acompañado el avance de las tecnologías digitales en casi cada paso es la forma en que los ciberataques han evolucionado para explotarlas de manera creativa. Hoy amenazan con propagarse por redes híbridas, chantajear o interrumpir la actividad de las empresas, reducir la confianza de los clientes y asestar duros golpes a los resultados del negocio. Pero, a ojos de CISA, también constituyen una amenaza muy tangible para la seguridad nacional. 

Al poner el énfasis en un nuevo principio fundamental del diseño de seguridad —que la seguridad debe incorporarse al software desde sus primeras fases de planificación—, Secure by Design se traducirá en defensas más sólidas frente a atacantes modernos que pueden estar motivados por el lucro, por la política o por ambos factores.  
 
Desde la perspectiva de Ivanti como firmante del compromiso, es importante dar todos los pasos necesarios para alinearse con los principios de Secure by Design. Los proveedores deben hacerse preguntas como: ¿Estamos utilizando un lenguaje de programación diseñado desde la perspectiva de un Marco de desarrollo de software seguro (SSDF) para que sea seguro en memoria? ¿Realizamos modelado de amenazas con regularidad para identificar posibles vulnerabilidades? ¿Utilizamos bibliotecas o componentes de terceros? ¿Cuál es su postura de seguridad?  

Responder a estas preguntas exige centrarse en la seguridad durante todo el ciclo de vida del desarrollo de software (SDLC), lo que implica: 

  • Incorporar los principios de Secure by Design a todo el proceso, en lugar de esperar a que el código esté escrito, para que la seguridad sea un foco de atención durante la planificación y el diseño. Esto significa pensar en posibles amenazas y diseñar defensas dentro del software. 
  • Detectar vulnerabilidades de forma temprana incorporando pruebas de seguridad exhaustivas a lo largo del desarrollo. Así se evita el coste y la complejidad de hacerlo más adelante durante el SDLC o después del lanzamiento. 

Esto supone ir más allá de un enfoque de “shift left”. Al aplicar los principios de Secure by Design, los desarrolladores realizan ahora pruebas estáticas y dinámicas de seguridad de aplicaciones dentro del conjunto de código, y llevan a cabo pruebas unitarias y de integración durante todo el proceso del SDLC, en lugar de retrasar las pruebas o el modelado de amenazas hasta el final. Como parte de ello, se acostumbran a utilizar herramientas de prueba casi a diario. 


Relacionado: 3 conclusiones de una mesa redonda empresarial con líderes de ciberseguridad de EE. UU. 

Más allá del software seguro 

Llevar a la práctica los principios de Secure by Design va más allá de escribir y probar código seguro. Se trata de adoptar un enfoque holístico de la ciberseguridad, en el que una defensa sólida se construye sobre una organización segura. Esto implica medidas como: 

  • Identificar puntos débiles: Es fundamental comprender dónde existen vulnerabilidades dentro de la organización, no solo en el código del software. Esto significa analizar y optimizar múltiples aspectos de la ciberseguridad, desde los programas de formación de empleados hasta la aplicación de parches al software de seguridad y la postura general de seguridad de la empresa. 
  • Protección y supervisión: Las organizaciones necesitan contar con herramientas de ciberseguridad sólidas para gestionar los riesgos de forma activa, e incluso proactiva. Entre ellas se incluyen sistemas de supervisión para detectar actividad sospechosa y salvaguardas como cortafuegos para rechazar ciberataques desde el primer momento. 
  • Respuesta ante incidentes: Es indispensable contar con un plan perfectamente definido para responder a los ciberataques. Debe describir cómo detectar un ataque, evaluar su impacto y adoptar medidas para recuperarse y mejorar las medidas de seguridad. 

Hay otro aspecto de la implementación de un sistema de software seguro basado en los principios de Secure by Design: cuando se habla de Secure by Design, a menudo en realidad se hace referencia al enfoque de “seguridad por defecto”. Son conceptos complementarios. Mientras que Secure by Design significa que las consideraciones de seguridad se han integrado en el producto a lo largo de todo su ciclo de vida de desarrollo, la seguridad por defecto significa que el producto final es seguro desde el primer momento, sin que el usuario tenga que realizar una configuración extensa. Ya está preparado para ofrecer medidas como registros seguros o perfiles de autorización de software, y prioriza la seguridad con visión de futuro frente a la compatibilidad con versiones anteriores.  


Relacionado: Demostración práctica: proteja todos los endpoints con contramedidas seguras de UEM 

Los clientes se benefician de Secure by Design  

Cuando un proveedor de software ofrece soluciones y plataformas que siguen los principios de Secure by Design, los beneficios más importantes son los que experimenta el cliente: 

  • Protección mejorada: Cuando las funciones de seguridad se incorporan al software desde el principio, este es más sólido y menos vulnerable, y también lo es la red en la que se ejecuta. 
  • Mejora de la DEX: Un mayor enfoque en la seguridad y las pruebas durante el desarrollo puede dar lugar a un producto más optimizado, más estable y resistente a las interrupciones, lo que mejora la experiencia de los empleados.  
  • Mejor ROI: Un producto más seguro puede minimizar el tiempo de inactividad y la aplicación de parches para que los usuarios sigan siendo productivos. 
  • Cumplimiento simplificado: Cumplir estrictos mandatos de privacidad y seguridad de los datos puede resultar más sencillo con software Secure by Design, reduciendo el tiempo y los recursos necesarios para superar las comprobaciones de cumplimiento y evitando sanciones. 
  • Reputación reforzada: Las empresas que sitúan la seguridad entre sus principales prioridades se perciben como más fiables, lo que puede reforzar la confianza y la fidelidad de los clientes.