Las agencias de ciberseguridad publican nuevas directrices sobre el diseño seguro de software: ¿Por qué es importante?

Los programas informáticos deben llevar incorporada una protección de ciberseguridad antes de salir a la venta. Este es el mensaje central de las nuevas orientaciones de las autoridades de ciberseguridad de Estados Unidos, Australia, Canadá, Reino Unido, Alemania, Países Bajos y Nueva Zelanda.

Por primera vez, estos países han elaborado directrices conjuntas en las que se insta a los fabricantes de software a que garanticen con carácter prioritario que los productos que comercializan están diseñados para ser seguros y llevan incorporada de serie la ciberseguridad. Las orientaciones se recogen en el siguiente informe: Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default.

Detrás de la guía conjunta sobre ciberseguridad del software hay tres agencias gubernamentales federales de Estados Unidos y ocho socios internacionales.

Las agencias estadounidenses son la Cybersecurity and Infrastructure Security Agency (CISA) -la agencia de ciberdefensa de Estados Unidos-, el Federal Bureau of Investigation (FBI) -la policía federal de EE. UU.- y la National Security Agency (NSA) -agencia nacional de inteligencia, centrada en la protección de los sistemas de comunicaciones nacionales-.

Entre los socios internacionales figuran el Centro de Ciberseguridad de Canadá (CCCS), la Oficina Federal de Seguridad de la Información de Alemania (BSI), el Equipo de Respuesta a Emergencias Informáticas de Nueva Zelanda (CERT NZ) y el Centro Nacional de Ciberseguridad del Reino Unido (NCSC-UK).

Los ciberataques han provocado la cancelación de cirugías en hospitales de todo el mundo. Este es solo un ejemplo de cómo las brechas tecnológicas pueden afectar a sistemas críticos que nos afectan a todos, afirman las autoridades de ciberseguridad.

Los productos tecnológicos inseguros pueden "plantear riesgos a los usuarios individuales y a nuestra seguridad nacional", explicó el Director de Ciberseguridad de la NSA, Rob Joyce. Y añadió: "Si los fabricantes priorizan sistemáticamente la seguridad durante el diseño y el desarrollo, podemos reducir el número de intrusiones cibernéticas maliciosas que vemos."

En su informe Perspectivas Mundiales de Ciberseguridad 2023, el Foro Económico Mundial concluye que el 93% de los líderes cibernéticos y el 86% de los líderes empresariales creen que es moderadamente o muy probable que se produzca un "ciberacontecimiento catastrófico de gran alcance" en los próximos dos años debido a la inestabilidad geopolítica mundial.

"El panorama de las amenazas se ha vuelto cada vez más volátil", afirma el Foro. "Los grupos de ciberdelincuentes profesionalizados han seguido creciendo y creando un mayor volumen de nuevos tipos de ataques".

En su informe State of the Connected World 2023 (Estado del Mundo Conectado 2023), el Foro identificó que la creciente dependencia de los dispositivos conectados y las tecnologías relacionadas ha hecho que las organizaciones, los gobiernos y los usuarios individuales sean cada vez más susceptibles a las ciberamenazas. La capacidad de los dispositivos conectados y las tecnologías relacionadas para proteger a las personas de los ciberataques es, por tanto, una de las principales preocupaciones.

La comunidad Centro de Ciberseguridad -parte de la iniciativa Incentivando la Innovación Segura y Responsable- estableció que si se animara e incentivara a empresarios e innovadores a priorizar aspectos de seguridad en el desarrollo de sus productos desde el principio, sería posible conseguir un ciberespacio mucho más seguro.

Las orientaciones del informe Shifting the Balance in Cybersecurity Risk para el diseño seguro de software incluyen recomendaciones técnicas específicas, como el uso de lenguajes de programación que eliminen las vulnerabilidades.

También hay una serie de principios básicos para los fabricantes de software. Entre ellos figura el de que el software ya esté configurado con los controles de seguridad más importantes y no se deje al cliente la tarea de arreglarlo.

También se pide a los fabricantes de software que "adopten una transparencia y responsabilidad radicales". Esto podría incluir compartir información, por ejemplo, sobre la adopción por parte de los clientes de controles de ciberseguridad por defecto.

Las empresas también deben crear la estructura organizativa y el liderazgo adecuados para priorizar a la seguridad como parte fundamental del desarrollo de software.

Los principios publicados por CISA, y respaldados por varias agencias nacionales de ciberseguridad a nivel mundial, proporcionan a los fabricantes de software el incentivo tan necesario para impulsar la seguridad de los productos. Por ello, pueden desempeñar un papel clave en el fortalecimiento de la ciberseguridad y la resiliencia en todo el ecosistema.