¿Está preparado su programa de seguridad para el Plan Estratégico de Ciberseguridad de CISA?

Una versión de este artículo apareció en Forbes. Se ha actualizado y sindicado aquí.


‍ElPlan Estratégico de Ciberseguridad impulsa cambios importantes en la forma en que la mayoría de las organizaciones abordan la ciberseguridad, y los desarrolladores se encuentran en una posición única para ayudar a alcanzar esos nuevos objetivos.

‍

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras(CISA) no solo ha sido fundamental para salvaguardar las infraestructuras críticas y las redes informáticas de Estados Unidos desde su creación en 2018, sino que su influencia y experiencia también han reverberado a nivel mundial. El asesoramiento integral, los avisos de seguridad, los informes de vulnerabilidad y los programas de ciberseguridad de la agencia han establecido un punto de referencia mundial para las mejores prácticas procesables, lo que subraya la importancia del recién publicado Plan Estratégico CISA 2023-2025 en el ámbito de la ciberseguridad global.

La influencia y los logros de CISA también se han extendido mucho más allá de lo que la mayoría de los organismos gubernamentales han sido capaces de lograr, especialmente teniendo en cuenta que sólo ha existido durante unos pocos años. Esto se debe en gran parte al crecimiento exponencial del panorama de las amenazas y al hecho de que los atacantes son cada vez más hábiles en sus intentos de violación y explotación. CISA ha asumido un papel de liderazgo en la lucha contra los ciberdelincuentes y otros actores de las llamadas amenazas, rastreando metódicamente las tendencias y asesorando sobre las mejores prácticas de ciberseguridad.

Sin embargo, a pesar de todos los útiles consejos y orientaciones de la agencia, nunca antes había publicado un plan estratégico global diseñado para establecer la dirección general de los esfuerzos en materia de ciberseguridad durante los próximos años. No se trata de un plan más , sino de un hito que muchas organizaciones querrán estudiar y, en última instancia, aplicar. El hecho de que el plan exija cambios importantes en la forma de enfocar la ciberseguridad puede dificultar el seguimiento de esas orientaciones, aunque la comunidad de desarrolladores se encuentra en una posición única para ayudar si se le proporciona el apoyo, las herramientas y las vías de actualización de conocimientos adecuados.

Se avecina un cambio en las mejores prácticas mundiales de ciberseguridad

A primera vista, sería fácil percibir cierto nivel de frustración en el Plan Estratégico de CISA, pero CISA simplemente está reconociendo el hecho de que si seguimos haciendo lo mismo que ahora, seguiremos viendo los mismos resultados. Para que la ciberseguridad mejore, serán necesarios grandes cambios en todos los ámbitos, incluidas las empresas que fabrican el software y las aplicaciones que se utilizan hoy en día.

Señalar con el dedo al software, al menos parcialmente, es un concepto que ya se ha introducido anteriormente. De hecho, la Estrategia de Seguridad Nacional de Estados Unidos afirma específicamente que "una seguridad deficiente del software aumenta enormemente el riesgo sistémico en todo el ecosistema digital". El Plan Estratégico de la CISA establece una nueva estrategia para abordar y resolver ese predicamento.

El mayor cambio en ciberseguridad defendido por CISA es desafiar a los fabricantes de software a que lancen productos seguros. Si se establecen y ponen en práctica las mejores prácticas de codificación segura, habrá muchas menos vulnerabilidades, especialmente las más importantes, al acecho dentro del software para que los atacantes las exploten. Sí, todavía se podría pasar por alto algo aquí y allá y requerirá diligencia para encontrarlo y arreglarlo, pero es una propuesta manejable comparada con el status quo actual: cientos de vulnerabilidades detectadas cada día sobrecargando a los defensores de la ciberseguridad. La CISA afirma muy claramente en su plan que quienes fabrican software y otras tecnologías deben ser responsables de la seguridad de sus propios productos.

"Como sociedad, ya no podemos aceptar un modelo en el que cada producto tecnológico es vulnerable en el momento en que sale al mercado y en el que la abrumadora carga de la seguridad recae en las organizaciones y usuarios individuales", afirma el Plan Estratégico de CISA. "La tecnología debe diseñarse, desarrollarse y probarse para minimizar el número de fallos explotables antes de que se introduzcan en el mercado".

El plan continúa sugiriendo que, con el tiempo, este nuevo enfoque podría ser más que sugerente, diciendo que CISA utilizará "todas las palancas disponibles para influir en las decisiones de riesgo de los líderes de las organizaciones." También insinúa que leyes como la Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA), que actualmente regula la notificación de incidentes cibernéticos, podrían servir de modelo para que, con el tiempo, el cumplimiento voluntario de estas nuevas normas pase a ser más obligatorio. En cualquier caso, sería beneficioso para la mayoría de las empresas que fabrican software y otras tecnologías hoy en día intentar respaldar esta nueva orientación.

Las orientaciones de CISA representan una oportunidad clave

En lugar de sentirse aprensivas ante la perspectiva de más regulaciones potenciales, las organizaciones deberían aprovechar la oportunidad de utilizar el Plan Estratégico CISA para esforzarse por conseguir un software mejor y de mayor calidad. Esto no es sólo un llamado al cumplimiento, sino una oportunidad para que los desarrolladores perfeccionen sus habilidades y contribuyan a un panorama digital más seguro. En última instancia, producir software seguro ayuda a todos, incluida la empresa que lo fabrica, los usuarios que dependen de él y las personas a cuyos datos accede o almacena ese software o aplicación. Sólo los atacantes se quedan con las manos vacías si el código que compone la mayoría del software y las aplicaciones se hace lo más seguro posible antes de pasar a un entorno de producción.

Dada esta nueva dirección, tiene sentido que los desarrolladores de una organización, que escriben o crean todo el código, sean un lugar perfecto para empezar cuando se trata de implantar una codificación más segura y esfuerzos para cumplir con el plan CISA. Pero los desarrolladores no pueden hacerlo solos sin el apoyo del resto de su organización, especialmente de la alta dirección. Contar con desarrolladores que entiendan las vulnerabilidades, cómo escribir código seguro y cómo reconocer los problemas mucho antes de que lleguen a un entorno de producción será la clave para que las organizaciones asuman en última instancia la responsabilidad de enviar código y, como dice la CISA, "garantizar que las vulnerabilidades se descubran y solucionen antes de que los adversarios puedan utilizarlas para causar daño."

Un aspecto clave a tener en cuenta es que la formación que necesitan los desarrolladores es bastante avanzada. Es todo un reto para alguien llegar a ser competente en la escritura de código seguro de forma consistente, y las medidas de cumplimiento de check-the-box simplemente no están a la altura de esa tarea. Los desarrolladores necesitarán métodos de aprendizaje ágiles y de alto nivel que ofrezcan resultados prácticos, digeribles y de aprendizaje continuo como parte de un programa general de concienciación sobre la seguridad, con el fin de garantizar que tienen las habilidades necesarias para mantener el nivel de seguridad requerido por el nuevo plan CISA. 

Idealmente, la actualización de conocimientos para prepararse para el plan CISA también debería incorporar muchos de los métodos y programas avanzados que los desarrolladores utilizan a diario, como los principios del desarrollo ágil. Por ejemplo, en el desarrollo ágil, el trabajo se divide en trozos manejables, superponiendo sprints en un ciclo continuo. Un buen programa de educación que incorpore prácticas ágiles puede ayudar a los desarrolladores a ponerse al día rápidamente con las habilidades necesarias para respaldar el plan CISA, permitiéndoles comenzar a ver los beneficios y empezar a codificar de manera más segura casi de inmediato.

La buena noticia es que la mayoría de los desarrolladores apoyan las prácticas de codificación segura y están deseosos de ayudar a sus organizaciones a cumplir la nueva directiva CISA. En una encuesta realizada a más de 1.200 desarrolladores profesionales que trabajan activamente en todo el mundo, la inmensa mayoría afirmó apoyar el concepto de crear código seguro y establecer una mejor cultura de seguridad en sus organizaciones. 

Los desarrolladores necesitan vías de formación precisas y un apoyo adecuado. Si las organizaciones pueden proporcionar eso, no sólo su código será más seguro, sino que estarán por delante de la curva en sus esfuerzos por cumplir o superar las directrices establecidas en el nuevo Plan Estratégico de Ciberseguridad de CISA.

Este cambio propuesto en la cultura de la seguridad supondrá un reto, pero también es una oportunidad increíble para cambiar la naturaleza de la ciberseguridad y crear un mundo en el que la tecnología que mejora nuestras vidas no esté plagada de atacantes que intentan explotarla constantemente para sus propios fines nefastos. Tenemos el poder de detenerlos, y el plan CISA muestra un camino prometedor hacia ese objetivo notable y, en última instancia, alcanzable.