La conexión entre controles remotos e infraestructuras mediante tecnologías basadas en la nube se ha incrementado de manera exponencial durante los últimos años. Este crecimiento ha traído consigo muchos beneficios (eficiencia, fiabilidad, rapidez en la respuesta, etc.), pero también nuevos retos, entre los que destaca la ciberseguridad.
Saber qué seguridad nos ofrece una plataforma concreta requiere un amplio conocimiento sobre cómo se ha desarrollado, implementado y operado. Este conocimiento nos ayudará a evaluar las posibilidades que nos ofrecen los diferentes servicios de monitorización remota así como a asegurar una mejor protección para nuestros sistemas y nuestros datos. En este post, nos centraremos en la importancia de conocer el Secure Development Lifecycle (SDL) de los productos y sistemas que adquirimos.
El SDL es un proceso mediante el cual se evalúa la seguridad durante toda la vida útil de los productos y soluciones. Creado por Microsoft, este proceso sirve de guía para el desarrollo, la implementación y la actividad de cualquier producto o plataforma, así como para valorar si el proveedor está tomando las medidas necesarias para mantener la seguridad y cumplir las reglamentaciones necesarias (p.e. ISO 27034)
Siguiendo las pautas de SDL, veamos las ocho prácticas que se identifican cómo claves para mantener la seguridad de nuestros productos y soluciones:
- Formar. Las empresas deben asegurar la formación continua de sus trabajadores para asegurar que estos diseñen, desarrollen, testeen e implementen soluciones más seguras.
- Requerir. Las características de ciberseguridad y los requisitos necesarios para el desarrollo de un producto deben enumerarse claramente y en detalle.
- Diseñar. Las arquitecturas de seguridad se producen según diseños generales aceptados por la industria. Con ellos también se pueden diseñar modelos de amenazas, identificarlos, cuantificarlos y crear patrones de riesgos potenciales de seguridad.
- Desarrollar. Las arquitecturas de seguridad se suman a los productos tras la fase de diseño y siempre siguiendo estándares codificados. Además, contamos con una amplia variedad de herramientas (p.e. análisis estáticos y dinámicos) que nos permiten contar con un desarrollo correcto de los elementos de seguridad.
- Verificar. Las pruebas de seguridad en la implementación del producto permitirán mejorar la robustez tomando como base la perspectiva de la amenaza. Los requerimientos de la regulación, así como la estrategia de desarrollo, están incluidas como parte de las pruebas.
- Lanzar. Debe desarrollarse documentación de seguridad que defina como hacer más segura la instalación, la puesta en marcha, el mantenimiento, la gestión y el desmantelamiento. Además, los dispositivos de seguridad son revisados en relación a los requerimientos originales y al nivel de seguridad que estaba especificado.
- Desplegar. El equipo de desarrollo del proyecto tiene que formar a los técnicos de servicio así como identificar el mejor modo de instalación y optimización de las medidas de seguridad. Por su parte, los equipos de servicios deberían poder ayudar a los clientes para instalar, gestionar y actualizar sus productos y soluciones durante todo su ciclo de vida.
- Responder. Tiene que existir un “equipo de respuesta ante ciberemergencias”, que gestione las vulnerabilidades y apoye a los clientes en caso de un ciberataque. Idealmente, este equipo debería estar formado por los que han desarrollado la aplicación ya que conocen el producto en detalle.
Estos ocho puntos conforman un proceso SDL que establece un buen sistema de seguridad durante todo el ciclo de vida de productos, servicios y soluciones. En el próximo post, estableceremos las claves del desarrollo e implementación de una plataforma segura. Pero si quieres saber más sobre ciberseguridad en plataformas de monitorización remota puedes descargarte el White Paper aquí.
Añadir comentario