Una nueva Guía de adquisición de software: la Herramienta web de respuesta al proveedor ha sido lanzada por la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) para mejorar la seguridad en la adquisición de software. La plataforma interactiva gratuita está diseñada para ayudar a los líderes de TI, los oficiales de adquisición y los proveedores de software para fortalecer las prácticas de seguridad cibernética durante todo el proceso de adquisición. La herramienta se basa en la Guía de adquisición de software de CISA para consumidores empresariales gubernamentales: garantía de software en el ciclo de vida de gestión de riesgos de la cadena cibernética (C-SCRM). Al mover la guía a un formato digital, CISA tiene como objetivo hacer que la evaluación de la garantía de software y el riesgo de proveedores sean más accesibles. «Esta herramienta demuestra el compromiso de CISA de ofrecer soluciones prácticas y gratuitas para adquisiciones de software más inteligentes y más seguras», dijo Marci McCarthy, directora de asuntos públicos de CISA. «Transformar la guía de adquisición de software en un formato interactivo simplifica la integración de la ciberseguridad en cada paso de la adquisición». Características clave de la herramienta La nueva herramienta web incorpora los principios seguros por diseño y seguros por defecto: dividir la guía en secciones más pequeñas y adaptativas adaptadas a la entrada del usuario que resaltan las preguntas más relevantes para cada adquisición que generan un contexto de adquisición que genera resúmenes exportables para cisos, CIO y otros fabricantes de decisiones que respaldan la debida diligencia de debidas más informados a través de los esfuerzos de adquisición. En medio de una creciente preocupación por las vulnerabilidades tanto en el software patentado como de código abierto. CISA señaló que muchos ataques cibernéticos importantes han explotado las debilidades en las cadenas de suministro de software, impactando tanto las organizaciones gubernamentales como del sector privado. La creciente demanda de orientación, la Guía de adquisición de software original y su hoja de cálculo de apoyo, ya han atraído a más de 10,000 usuarios y han sido descargados más de 4000 veces. El interés abarca los gobiernos federales, estatales y locales, así como pequeñas y medianas empresas que buscan prácticas de seguridad más fuertes en adquisiciones. En particular, la herramienta web no requiere que los profesionales de adquisición sean expertos en ciberseguridad. En cambio, les permite evaluar las prácticas de seguridad de los proveedores en todo el ciclo de vida del software, desde la cadena de suministro y el desarrollo hasta la gestión de implementación y vulnerabilidad. El nuevo recurso es parte del esfuerzo continuo de CISA para fortalecer la resiliencia de la cadena de suministro de software de la nación. Junto con la guía Secure by Demand, ayuda a las organizaciones a comprender mejor si la seguridad está integrada en el proceso de desarrollo de un proveedor. Al digitalizar y simplificar el marco de adquisición, CISA tiene como objetivo ayudar a las organizaciones de todos los tamaños a adoptar estrategias de adquisición resistentes al riesgo.