Una de las iniciativas emblemáticas de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) es Secure by Design, lanzada en 2023. Ahora, la agencia está implorando a los clientes de software que adopten el enfoque de Secure by Demand. Este fue el mensaje dado por la directora de CISA, Jen Easterly, durante la charla de la etapa primaria en Black Hat USA. «Tienes que tener tanto el lado de la oferta como el de la demanda dentro. La verdad es que las organizaciones que adquieren e implementan software, que son prácticamente todas las organizaciones, pueden desempeñar un papel de liderazgo en el avance de la seguridad por demanda», dijo Easterly. «Las empresas y los líderes deberían usar su poder adquisitivo y votar con sus dólares de compras», dijo. CISA lanzó recientemente su Guía Secure by Demand, que establece preguntas y recursos que las organizaciones que compran software pueden usar para comprender mejor el enfoque de un fabricante de software hacia la ciberseguridad y asegurarse de que el fabricante haga de la seguridad por diseño una consideración central. La guía destaca cómo las organizaciones pueden integrar la seguridad del producto en varias etapas del ciclo de vida de la adquisición. «Necesitamos exigir más. Necesitamos exigir más a los proveedores de tecnología. Para asegurarnos de que estamos avanzando en la revolución de la seguridad por diseño”, afirmó. En mayo, se anunció un compromiso de seguridad por diseño, que alienta a los fabricantes de software a comprometerse a avanzar en una serie de principios de seguridad por diseño. Easterly afirmó que los líderes de las empresas deberían preguntar si sus proveedores de software han firmado el compromiso. Comentó que el compromiso está creciendo, con casi 200 firmantes que ya lo han hecho. El movimiento de seguridad por diseño está ganando impulso, comentó, con el uso creciente de la autenticación multifactor (MFA), la disminución del uso de contraseñas predeterminadas y la reducción o eliminación total de clases enteras de vulnerabilidades entre los que están comprometidos. CISA está trabajando con los comprometidos con el compromiso para realizar un seguimiento del progreso e informar de forma transparente con el fin de demostrar cómo la agencia está reduciendo el riesgo en el ecosistema tecnológico.