El futuro de la responsabilidad informática: cómo los proveedores de software pueden prepararse para una mayor responsabilidad

Como director de seguridad informática de Veritas, soy plenamente consciente de la evolución constante del panorama de seguridad del software y de la mayor responsabilidad que recae sobre los proveedores de software. En un mundo en el que los ciberataques son cada vez más frecuentes y sofisticados, es esencial que los proveedores de software no solo ofrezcan productos funcionales y eficientes, sino que también aseguren que estos sean seguros y resilientes.

En este artículo, exploraremos el futuro de la responsabilidad del software y cómo los proveedores pueden prepararse para una mayor responsabilidad en esta área.

Consecuencias del cambio de responsabilidad del software

En el pasado, los proveedores de software estaban mayormente exentos de responsabilidad ante cualquier brecha de seguridad o defectos en sus productos. Sin embargo, al volvernos cada vez más dependientes de las tecnologías digitales, y al crecer el impacto de los ciberataques sobre las empresas y las personas, la situación está cambiando. Los reguladores y legisladores se plantean responsabilizar más a los proveedores de software por la seguridad de sus productos. Esto ya se observa en los Estados Unidos con la estrategia de seguridad nacional que lanzó recientemente el gobierno de Biden, que traslada la responsabilidad de los productos y servicios de software a sus creadores y promueve prácticas seguras de desarrollo.

Este cambio de responsabilidad tiene varias consecuencias posibles para los proveedores de software:

1. Mayor responsabilidad para los proveedores de software: al trasladar la responsabilidad del software, los proveedores deben asegurarse de que el software sea seguro y que cumpla con las normas de calidad relevantes.
2. Mejor calidad de los productos: el traslado de responsabilidad puede incentivar a los proveedores de software a mejorar la calidad de sus productos y reducir las probabilidades de que sean defectuosos o vulnerables.
3. Costos más altos para los proveedores de software: el traslado de responsabilidad puede aumentar los costos para los proveedores, ya que podría ser necesario invertir más en pruebas, aseguramiento de la calidad y medidas de seguridad para garantizar que el producto sea seguro y no tenga defectos.
4. Cambios en los contratos y garantías de software: el traslado de responsabilidad puede requerir cambios en los contratos y garantías, ya que los proveedores deberán asegurarse de estar protegidos ante posibles demandas legales y por daños y perjuicios a raíz de algún defecto en el software.
5. Mayor confianza en el software: al trasladar la responsabilidad, la confianza en los productos de software podría aumentar entre los usuarios finales, puesto que sabrán que los proveedores son responsables ante cualquier demanda por daños y perjuicios debido a defectos o vulnerabilidades del software.
6. Cambios en el panorama jurídico: el traslado de responsabilidad puede dar lugar a cambios en el ámbito legal, a medida que los tribunales y legisladores se adaptan a los nuevos acuerdos de responsabilidad.

En resumen, el traslado de responsabilidad del software puede tener consecuencias significativas para los proveedores de software, los usuario finales y el sistema legal. Aunque podría incentivar a los proveedores a mejorar la calidad del software, y podría aumentar la confianza en estos productos, también podría aumentar los costos y requerir cambio en los contratos y garantías. En última instancia, depende de cada organización determinar el mejor enfoque para la responsabilidad del software de acuerdo con sus necesidades específicas y su tolerancia al riesgo.

Recomendaciones para proveedores para crear software seguro

Estas son 10 prácticas recomendadas que las organizaciones pueden seguir para desarrollar aplicaciones seguras de software:

• Modelado de amenazas: Identificar de manera proactiva los posibles puntos débiles en la seguridad de un sistema o aplicación y tomar medidas para solucionarlos antes de cualquier ataque. Esto puede incluir identificar y resolver debilidades en el diseño, configuración o implementación de la aplicación, así como identificar posibles vectores de ataque e implementar controles de seguridad adecuados para mitigar los riesgos.

•  Programación segura: Es esencial para crear aplicaciones seguras y resilientes. Algunos elementos clave incluyen la validación, autenticación y autorización de datos ingresados, comunicación segura, manejo de errores, controles de acceso, configuración segura y prácticas seguras de programación.

• Lista de materiales de software (SBOM): Las listas de materiales de software, o SBOM (por sus siglas en inglés, Software Bill of Materials), son un inventario de todos los componentes de una aplicación o sistema de software, incluidas las bibliotecas tercerizadas, marcos de trabajo, y otras dependencias. Las SBOM son una parte esencial del desarrollo de software ya que ayudan a identificar posibles vulnerabilidades y riesgos en componentes y dependencias tercerizadas, asegurar el cumplimiento de las normas y estándares del sector y mejorar la colaboración y comunicación entre los equipos de desarrollo y otras partes interesadas. Al invertir en SBOM, las organizaciones pueden mejorar la administración de riesgos en la cadena de suministro, reducir el riesgo de una brecha de seguridad y asegurar el cumplimiento de los requisitos de licencias de código abierto.

• Revisión del código: Identificar posibles vulnerabilidades de seguridad en las etapas iniciales de desarrollo del ciclo de vida, de manera que se puedan solucionar antes de lanzar el software o la aplicación. Es un componente importante para una estrategia integral de prueba y aseguramiento de la seguridad.

• Pruebas de penetración: Componente fundamental de una estrategia integral de prueba y aseguramiento de la seguridad. Ofrece varios beneficios clave, como por ejemplo:

       A. Identificar posibles vulnerabilidades.

       B. Proporcionar información sobre los vectores de ataque.

       C. Mejorar la postura de seguridad.

       D. Satisfacer los requisitos de cumplimiento.

       E. Reducir el riesgo y minimizar el impacto de una brecha.

• Administración de configuración segura: El proceso de administrar la configuración de los sistemas y aplicaciones de software para asegurar que estén bien configurados y fortalecidos para evitar las vulnerabilidades y debilidades de seguridad más comunes. Implica establecer y ejecutar políticas de seguridad y prácticas recomendadas en la configuración del sistema. La administración de configuración segura incluye varios componentes clave, como por ejemplo:

      A. Configuración de estándares

      B. Administración de cambios

      C. Controles de seguridad

      D. Administración de vulnerabilidades

      E. Administración de parches

• Control de acceso: Restringir el acceso a datos confidenciales, funciones y recursos a únicamente usuarios o sistemas autorizados.

• Capacitaciones de seguridad: Ayuda a asegurar que los desarrolladores tengan las habilidades y conocimientos necesarios para crear software seguro y reducir el riesgo de una brecha de seguridad. Al invertir en capacitaciones de seguridad, las organizaciones pueden mejorar la seguridad del software, disminuir los riesgos de una brecha de seguridad y ayudar a que el equipo de desarrollo sea más consciente de la seguridad.

• Respuesta a incidentes: Tener una respuesta bien definida ante incidentes es un componente fundamental en el desarrollo de software, e implica identificar, investigar y responder a incidentes de seguridad y vulnerabilidades en sistemas y aplicaciones de software.

• Supervisión continua: Supervisar continuamente los inicios de sesión, el tráfico en las redes y la conducta de los usuarios para detectar cualquier señal de vulnerabilidad o brechas de seguridad.

Seguir estas mejores prácticas puede ayudar a las organizaciones a desarrollar aplicaciones de software más seguras, confiables y resistentes a posibles amenazas y vulnerabilidades de seguridad. Es esencial priorizar la seguridad en todas las etapas de desarrollo del software para evitar accesos no autorizados y proteger datos confidenciales.

Conclusión

El futuro de la responsabilidad del software conlleva desafíos y responsabilidades nuevas para los proveedores. Al aceptar estas nuevas responsabilidades y tomar medidas proactivas para mejorar la seguridad de sus productos, los proveedores no solo minimizan los posibles riesgos, sino que también demuestran su compromiso hacia la protección de los clientes y usuarios.

Adoptar las prácticas recomendadas, como implementar un SDLC, modelar amenazas, administrar una SBOM, invertir en capacitaciones y generar conciencia sobre la seguridad, ayudará a los proveedores a crear software más seguro y resiliente. Además, ser transparente respecto de las medidas de seguridad y colaborar con la comunidad de seguridad puede aumentar la confianza en sus productos.

Mientras navegamos por este panorama tan cambiante, trabajemos juntos para crear un ambiente digital más seguro para todos. Al compartir nuestro conocimiento y experiencia, podemos subir el nivel de la seguridad del software y crear un futuro más seguro para nuestros ecosistemas digitales.

Juntos, podemos asumir los desafíos de la mayor responsabilidad del software, adaptarnos al cambiante panorama y seguir ofreciendo soluciones seguras, confiables e innovadoras que satisfagan las necesidades de nuestros clientes y usuarios.

No espere más para mejorar la ciberseguridad de su organización: descubra hoy mismo cómo Veritas lo puede ayudar a crear un plan de ciberresiliencia sólido en nuestra página de ciberresiliencia.