Crédito: La guía de ciberseguridad de IoT de Shutterstock del NIST reconoce desde hace mucho tiempo la importancia de las prácticas de desarrollo de software seguro (SSDF), destacadas por la serie NIST IR 8259, como la recomendación de documentación en la Acción 3.d de NIST IR 8259B, que los fabricantes han considerado y documentado. sus “prácticas seguras de desarrollo de software y cadena de suministro utilizadas”. El NIST SSDF (NIST SP 800-218) describe prácticas de desarrollo de software que pueden ayudar a los fabricantes a desarrollar productos de IoT al brindar orientación para el desarrollo seguro de software y firmware. Estas prácticas de desarrollo también pueden brindar seguridad a los clientes sobre cómo se desarrollaron esos productos y cómo los respaldará el fabricante. Cuando se utilizan juntos, la guía de ciberseguridad SSDF e IoT del NIST ayuda a los fabricantes a diseñar y ofrecer productos IoT más seguros a los clientes. Seguridad del software: una necesidad esencial para los productos de IoT La ciberseguridad de los productos de IoT requiere capacidades técnicas dentro del producto, así como procesos y políticas de desarrollo que respalden la ciberseguridad durante todo el ciclo de vida del producto (por ejemplo, proporcionar actualizaciones de software, documentar un plan de gestión de vulnerabilidades, explicar la configuración). configuración del software). La guía de ciberseguridad de IoT del NIST incluye un enfoque recomendado para que los fabricantes de IoT identifiquen cómo deben respaldar la ciberseguridad de sus productos, tanto antes como después de la comercialización (NIST IR 8259). Este enfoque está respaldado por líneas base de capacidad de ciberseguridad que identifican el punto de partida mínimo para todo tipo de productos conectados. Una línea de base se centra en las capacidades técnicas esperadas de los productos de IoT (NIST IR 8259A) y otra destaca las capacidades no técnicas esperadas relacionadas con los productos de IoT (NIST IR 8259B). Al reconocer que una solución única no puede servir para todos, se elaboraron e incorporaron en los “Perfiles” las capacidades técnicas y no técnicas básicas. La elaboración de perfiles de las líneas de base de ciberseguridad requiere considerar el uso específico, el riesgo, etc. de un producto o grupo de productos de IoT (por ejemplo, consumidores domésticos, enrutadores domésticos) para adaptar las líneas de base para ese contexto para un grupo particular de usuarios o sector y/o para una clase de productos. NIST ha desarrollado dos perfiles de líneas base de ciberseguridad, el Perfil del Consumidor (NIST IR 8425) y el Perfil Federal (NIST SP 800-213A). El software es intrínseco a los productos de IoT y abarca desde el firmware de los dispositivos de IoT hasta las aplicaciones móviles y los servicios de soporte basados ​​en redes y en la nube. La forma en que una organización aborda el desarrollo de software es crucial para la ciberseguridad de los productos de IoT. La línea base básica de capacidad de soporte no técnico de IoT del NIST (NIST IR 8259B) aborda la seguridad del software con respecto tanto al desarrollo como al soporte del ciclo de vida. Por ejemplo, en Documentación, NIST IR 8259B exige «Documento[ing] consideraciones de diseño y soporte… tales como… desarrollo de software seguro y prácticas de cadena de suministro utilizadas”. También se abordan los procedimientos para las actualizaciones de software. Aplicación del SSDF al desarrollo y soporte de productos: para fabricantes El SSDF documenta un conjunto de prácticas de desarrollo de software fundamentales, sólidas y seguras basadas en prácticas establecidas de numerosas organizaciones. Pocos modelos del ciclo de vida de desarrollo de software (SDLC) abordan explícitamente la seguridad del software en detalle, por lo que prácticas como las del SSDF deben agregarse e integrarse con cada metodología SDLC. El SSDF describe prácticas para preparar a la organización para realizar un desarrollo de software seguro, proteger el software y producir software bien seguro como actividades de desarrollo y responder a las vulnerabilidades una vez que un producto se implementa en el mercado. Las prácticas del SSDF son un enfoque viable para proporcionar muchas de las capacidades requeridas en NIST IR 8259B: La preparación de la organización de desarrollo incluye la documentación de los procesos de desarrollo de software que se utilizarán, los casos de uso esperados y otra información fundamental crítica. Muchos de estos elementos son necesarios en la capacidad básica de ciberseguridad no técnica. Otro aspecto de la preparación de la organización es la educación de la organización, que se relaciona con la capacidad no técnica de Educación y Conciencia. Proteger el software y producir software bien protegido incluye la selección de capacidades técnicas de ciberseguridad adecuadas para respaldar la ciberseguridad en los casos de uso previstos. Los documentos de la Guía de ciberseguridad de IoT proporcionan definiciones de esas capacidades. Para que una organización responda a las vulnerabilidades tal como se definen en el SSDF, normalmente debe proporcionar capacidades no técnicas de soporte de recepción de información y consultas, y difusión de información. La implementación consistente del SSDF permite a una organización cumplir más fácilmente con los requisitos asociados con las líneas de base que se encuentran en la Guía de ciberseguridad de IoT. Cuando el proceso y el producto se conectan: para los compradores Los requisitos del cliente para la conformidad con el SSDF de un fabricante, por la naturaleza de la implementación del SSDF, probablemente darían como resultado capacidades de seguridad a nivel organizacional para ese fabricante. La selección de requisitos técnicos y no técnicos de NIST SP 800-213A para un producto o grupo de productos específico permite que esos productos encajen dentro del sistema federal previsto y cumplan con los requisitos de seguridad de ese sistema federal. Si un fabricante puede dar fe de la conformidad con el SSDF, la organización compradora podría considerar si eso es suficiente para sugerir que los productos de IoT de ese fabricante cumplen con capacidades no técnicas específicas. Por ejemplo, una organización que utilice SSDF podría admitir de forma rutinaria las capacidades no técnicas de recepción de información y consultas y difusión de información de NIST IR 8259B para cada producto de IoT. Se necesita un debate importante en el futuro para comprender en qué medida la conformidad con SSDF (por ejemplo, mediante la certificación de conformidad con las prácticas de SSDF) demuestra el cumplimiento de los requisitos no técnicos de ciberseguridad de los productos de IoT. Conclusión El SSDF del NIST y la Guía de ciberseguridad de IoT son herramientas fundamentales y complementarias para una organización que busca establecer enfoques sistemáticos para incorporar la ciberseguridad en sus productos de IoT, como durante las etapas de diseño y desarrollo, y reducir la carga de los clientes por la seguridad del producto. La implementación del SSDF proporciona a una organización la infraestructura establecida que se puede personalizar para cumplir con muchos de los requisitos básicos no técnicos de la guía de ciberseguridad de IoT, lo que permite a la organización centrarse en completar los elementos adicionales necesarios para ese producto. Para los requisitos básicos técnicos, el SSDF proporciona a la organización un marco para implementar las capacidades del producto de IoT necesarias para cumplir con los requisitos de la base técnica. Por lo tanto, desarrollar la conformidad organizacional con el SSDF ayuda a desarrollar la capacidad para implementar las líneas de base de la Guía de ciberseguridad de IoT.