La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha publicado una nueva guía para mejorar la forma en que las organizaciones evalúan las prácticas de seguridad de los fabricantes de software. La guía enfatiza la importancia de priorizar la seguridad del producto, en lugar de centrarse únicamente en las medidas de seguridad empresarial de un fabricante, durante el proceso de adquisición de software. La agencia destacó cómo este enfoque es crucial para defenderse contra el ransomware y otras amenazas cibernéticas. «Esta guía proporciona a las organizaciones preguntas para hacer al comprar software, consideraciones para integrar la seguridad del producto en varias etapas del ciclo de vida de la adquisición y recursos para evaluar la madurez de la seguridad del producto de acuerdo con los principios de seguridad por diseño», escribió CISA. Esta filosofía de «seguridad por diseño» requiere que los fabricantes prioricen la seguridad como un elemento central, alineándose con los principios establecidos de CISA, que incluyen asumir la responsabilidad de los resultados de seguridad del cliente, mantener la transparencia y fomentar el liderazgo para lograr estos objetivos. Lea más sobre aplicaciones seguras por diseño: Haga posible la seguridad por diseño en la universidad y más allá Actualmente, muchas organizaciones se concentran en estándares de cumplimiento relacionados con la seguridad empresarial, como la protección de la infraestructura interna. «El personal de adquisiciones de una organización a menudo tiene un conocimiento general de los requisitos básicos de ciberseguridad para una adquisición de tecnología en particular», dijo CISA. «Sin embargo, con frecuencia no evalúan si un proveedor determinado tiene prácticas y políticas establecidas para garantizar que la seguridad sea una consideración central desde las primeras etapas del ciclo de vida del desarrollo del producto». La guía destaca la necesidad de un cambio hacia la evaluación de cómo los fabricantes de software garantizan que sus productos sean resistentes a los ataques cibernéticos. Proporciona pasos prácticos para integrar la seguridad del producto en diferentes etapas del ciclo de vida de la adquisición: antes, durante y después de la compra. Por ejemplo, antes de la adquisición, las organizaciones deben preguntar sobre el enfoque del fabricante en materia de seguridad. Durante la adquisición, los requisitos de seguridad deben incorporarse en los contratos. Después de la compra, se recomienda una evaluación continua de la seguridad del producto del fabricante. La guía también subraya la importancia de eliminar las contraseñas predeterminadas, respaldar la autenticación multifactor (MFA) y abordar las vulnerabilidades sistémicas. Sugiere que los fabricantes de software proporcionen evidencia de registros de seguridad, mantengan registros detallados de las dependencias de terceros y demuestren la presentación oportuna de informes de vulnerabilidad. Para obtener información más detallada, las organizaciones que buscan más orientación pueden consultar la página Secure by Design de CISA.