¿Cómo puede asegurarse de que el memorando de la OMB no afecte sus resultados finales?

Todos los Artículos

Barak Brudo

El gobierno de Estados Unidos está en el proceso de renovar sus políticas de ciberseguridad. Esto incluye la liberación de Marco de desarrollo de software seguro (SSDF) versión 1.1 por el Instituto Nacional de Estándares y Tecnología (NIST), que tiene como objetivo reducir las vulnerabilidades de seguridad en todo el ciclo de vida de desarrollo de software (SDLC).

El documento proporciona a los proveedores y adquirentes de software “un conjunto básico de prácticas de desarrollo de software seguro de alto nivel que se pueden integrar en cada implementación de SDLC.

En septiembre de 2021 se publicó un borrador inicial del marco, seguido de la versión final en febrero de 2022, que contenía solo actualizaciones menores. El SSDF combina recomendaciones de mejores prácticas para la seguridad de SDLC sin dejar de ser personalizable e independiente del sector. 

No es un documento que prescribe metodologías fijas para cada práctica. Más bien, se centra en los resultados y no en herramientas, técnicas y mecanismos específicos. El SSDF promueve un enfoque basado en riesgos, donde se alienta a las organizaciones a consultar referencias y otros recursos para determinar qué prácticas son relevantes para sus operaciones y cómo deben implementarse.

El SSDF incluye recomendaciones en las siguientes áreas:

  • Garantizar que las personas, los procesos y la tecnología de una organización estén preparados para el desarrollo de software seguro.
  • Proteger todos los componentes del software contra manipulación y/o acceso no autorizado
  • Lanzamiento de software seguro con vulnerabilidades de seguridad mínimas
  • Identificar cualquier vulnerabilidad posterior al lanzamiento y responder adecuadamente

Las recomendaciones se convierten rápidamente en directivas

En asociación con el sector privado, se ordenó al NIST que creara el SSDF por Orden Ejecutiva 14028, "Mejora de la ciberseguridad del país". La orden también ordena a la Oficina de Gestión y Presupuesto (OMB) que, dentro de los 30 días siguientes a su emisión, “tomar las medidas apropiadas para exigir que las agencias cumplan con dichas pautas con respecto al software adquirido después de la fecha de esta orden."

En marzo de 7thde 2022, la OMB emitió un comunicado que incluía lo siguiente: “Las agencias federales deben comenzar a adoptar el SSDF y las directrices relacionadas con efecto inmediato, adaptándolas al perfil de riesgo y la misión de la agencia”. 

Por lo tanto, si bien el SSDF es una lista de recomendaciones, todas las organizaciones que suministran software al gobierno de EE. UU. deben seguirla. Si bien no es un requisito legal para todo el desarrollo de software, el SSDF sigue representando un paso considerable en la política de ciberseguridad de Estados Unidos.

Dado el poder adquisitivo del gobierno de los EE. UU., como consumidor masivo de software externo, se supone que estas recomendaciones se filtrarán al resto de la industria, convirtiéndose en la norma para el desarrollo de software en los EE. UU. Como resultado, cualquier organización que esté considerando postularse para el gobierno de los EE. UU. los contratos deben aprenda cómo adherirse al SSDF, y cualquier organización que busque operar con éxito en los EE. UU. probablemente también deberá cumplir.

Memorándum de la OMB sobre prioridades de ciberseguridad

El SSDF no es el único avance nuevo en la política de ciberseguridad de Estados Unidos. Recientemente, el gobierno de Estados Unidos pidió a las agencias que enfatizaran nuevas prioridades, incluida la implementación de un enfoque de confianza cero y la modernización de los sistemas de TI heredados.

A raíz de la Orden Ejecutiva 14028, la OMB y la Oficina del Director Nacional Cibernético (ONCB) publicaron un memorándum en julio 22ndde 2022, que describe las prioridades de inversión cibernética entre agencias del gobierno de EE. UU. para las presentaciones presupuestarias en el año fiscal 2024.

Describe tres prioridades en las que las agencias del Poder Ejecutivo Civil Federal (FCEB) deben invertir. La OMB y la ONCD revisarán la respuesta de cada agencia y brindarán comentarios para garantizar “las prioridades se abordan adecuadamente y son consistentes con la estrategia y política general de ciberseguridad, lo que ayuda a la planificación plurianual de las agencias a través del proceso presupuestario regular."

Las tres prioridades para la inversión cibernética son:

#1: Mejorar la defensa y la resiliencia de las redes gubernamentales

El memorando pide a las agencias de la FCEB que prioricen implementación de confianza cero y modernización de TI.

El modelo de seguridad de confianza cero describe la implementación de sistemas de TI en los que no se confía en todos los usuarios o dispositivos de forma predeterminada. Las arquitecturas típicas verifican una vez y luego permiten que los usuarios o dispositivos accedan a la red. Por el contrario, las arquitecturas de confianza cero verifican cualquier cosa dentro del sistema.

La estrategia federal Zero Trust se describe en su propia memorando de la OMB, lanzado el 26 de eneroth, 2022. La estrategia requiere que todas las agencias gubernamentales alcancen objetivos específicos de confianza cero para finales del año fiscal 2024. 

Se espera “Lograr una base de referencia consistente para toda la empresa para la ciberseguridad basada en principios de privilegio mínimo, minimización de la superficie de ataque y diseño de protecciones en torno a la suposición de que los perímetros de la agencia deben considerarse comprometidos.."

Este es un cambio importante para las agencias gubernamentales: en el futuro, deberán analizar todo el software que utilizan (ya sea creado internamente o adquirido por un proveedor externo) para garantizar que cumpla con los requisitos de seguridad de confianza cero.

La modernización de TI se refiere a la cantidad considerable de sistemas heredados que utilizan las agencias gubernamentales y la deuda técnica en la que incurren. Presentaciones presupuestarias para 2024”"Deberíamos priorizar las modernizaciones tecnológicas que conduzcan con la seguridad integrada durante la fase de diseño, así como durante todo el ciclo de vida del sistema".

Esto incluye:

  • Acelerar la adopción de una infraestructura de nube segura que aproveche la arquitectura de confianza cero
  • Implementar productos, servicios y estándares federales compartidos para potenciar experiencias seguras para los clientes.
  • Usar tecnologías de seguridad compartidas y colaborar con el programa de Mitigación y Diagnóstico Continuo del Departamento de Seguridad Nacional
  • Compartir conciencia entre los equipos de seguridad y operaciones de TI
  • Utilizar prácticas de desarrollo ágiles e integrar el SSDF

#2: Profundizar la colaboración intersectorial en la defensa de infraestructuras críticas

La protección contra las amenazas cibernéticas modernas requerirá una colaboración considerable entre los sectores público y privado. La OMB está pidiendo a la FCEB que cree asociaciones dando prioridad a las responsabilidades de la Agencia de Gestión de Riesgos Sectoriales (SRMA) y compartiendo información a través de centros de ciberseguridad.

Las agencias deben priorizar métodos y mecanismos de construcción que faciliten la colaboración con los propietarios de infraestructura crítica para mitigar amenazas potenciales. Las SRMA también deberían proporcionar solicitudes de presupuesto que “reflejar recursos adecuados para cumplir con sus responsabilidades bajo la sección 9002 de la Ley de Autorización de Defensa Nacional de 2021.”Específicamente, las presentaciones deben:

  • Permitir que las SRMA colaboren estrechamente con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y otras SRMA.
  • Permitir que el gobierno y la industria intercambien información.
  • Mejorar la comprensión de los riesgos de seguridad nacional para cada sector.

#3: Fortalecer las bases de nuestro futuro digital

La última prioridad pide a la FCEB que dé prioridad a la infraestructura física, el capital humano y el riesgo de la cadena de suministro a medida que una mayor parte de la economía estadounidense experimenta una transformación digital.

  • Infraestructura física 

La reciente Ley de Empleo e Inversión en Infraestructura (IIJA) representa una enorme inversión por parte del gobierno de Estados Unidos. La OMB está pidiendo a las agencias de la FCEB que apoyen cualquier esfuerzo para proteger la infraestructura de los ataques cibernéticos. Esto incluye desarrollar estándares de ciberseguridad y brindar soporte técnico para nuevos proyectos.

  • Capital humano

Para contrarrestar las amenazas cibernéticas, se alienta a las agencias a invertir en talento de TI y nuevas herramientas que promuevan la competencia digital en toda la fuerza laboral.

  • Riesgo de la cadena de suministro de software

Seguridad de la cadena de suministro de software se está convirtiendo en un riesgo creciente para la ciberseguridad. Como resultado, actualmente se requiere que las agencias federales establezcan iniciativas de Gestión de Riesgos de la Cadena de Suministro (SCRM) durante las adquisiciones, especialmente para aquellas en tecnologías y servicios de información y comunicaciones (TICS). Si bien este requisito expirará a finales de 2023, existe legislación pendiente que lo extenderá hasta 2026.

Se espera que las agencias sostengan las inversiones SCRM del año pasado y apunten a nuevos recursos. Más allá de desarrollar las capacidades de adquisición del gobierno federal, el gobierno también desempeña un papel importante a la hora de abordar el riesgo de la cadena de suministro nacional de ICTS.

El memorando de la OMB dice: “En las presentaciones presupuestarias para el año fiscal 2024, las agencias deben destacar las inversiones que apoyan un esfuerzo nacional para mitigar niveles indebidos o inaceptables de riesgo para la seguridad económica y la seguridad nacional de los Estados Unidos.”Esto incluye inversiones relacionadas con Orden Ejecutiva 13873, “Asegurar la cadena de suministro de servicios y tecnologías de la información y las comunicaciones”.

La política de ciberseguridad de Estados Unidos avanza rápidamente; ¿Estás equipado para mantener el ritmo?

una imagen de un leopardo persiguiendo una gacela

Con las crecientes demandas de ciberseguridad, las empresas de desarrollo de software que quieran operar en EE. UU. deben asegurarse de poder adaptarse con éxito a las nuevas directrices.

El SSDF ya entró en vigor y las organizaciones deben conocer las nuevas pautas de desarrollo de software que se espera que sigan. El SSDF promueve una variedad de medidas que reducen la exposición a vulnerabilidades y acceso no autorizado en todo el SDLC y al mismo tiempo fomentan la transparencia. Esto incluye:

  • Validar artefactos
  • Firmar digitalmente artefactos
  • Seguimiento de archivos para cambios y generación de evidencia.
  • Validar cada componente dentro del artefacto de software final

El último memorando de la OMB sobre las prioridades de inversión cibernética no solo vuelve a enfatizar la adopción del SSDF, sino que también establece una variedad de prioridades para las agencias gubernamentales. El más importante para los desarrolladores de software es la implementación de una arquitectura de confianza cero en todo el software que utiliza la FCEB. Este memorando entrará en vigor en 2024, por lo que las organizaciones que necesitan adaptar sus productos no tienen mucho tiempo para prepararse.

Si bien los nuevos requisitos descritos en el memorando de la OMB solo se aplican a las organizaciones que buscan obtener contratos con las agencias de la FCEB, la dirección del viaje sugiere que probablemente se adoptarán nuevas pautas de ciberseguridad para todos los contratistas federales, como se describe en la Orden Ejecutiva 14028.

Las organizaciones que tardan en adaptarse corren el riesgo de perderse negocios del gobierno estadounidense y potencialmente de otros clientes estadounidenses. Ahora es el momento de implementar un modelo de seguridad de confianza cero y conocer las mejores prácticas de SSDF. 

Resumen

El gobierno de Estados Unidos está mostrando un importante avance en lo que respecta a la política de ciberseguridad. Dado que el SSDF ya se está aplicando y las nuevas prioridades cibernéticas de la OMB entrarán en vigor en 2024, las organizaciones que buscan continuar operando en los EE. UU. tienen múltiples pautas nuevas que aprender y cumplir.

bandera 

Este contenido es presentado por Scribe Security, un proveedor líder de soluciones de seguridad de la cadena de suministro de software de extremo a extremo, que ofrece seguridad de última generación para artefactos de código y procesos de desarrollo y entrega de código en todas las cadenas de suministro de software. Más información.

Artículos relacionados con

Una imagen que ilustra el código aprobado.
Usando el ataque a la aplicación de escritorio 3CX para ilustrar la importancia de firmar y verificar el software

A finales de marzo de 2023, investigadores de seguridad expusieron un complejo ataque a la cadena de suministro de software de un actor de amenazas al software de comunicación empresarial de 3CX, principalmente la aplicación de escritorio de llamadas de voz y video de la compañía. Los investigadores advirtieron que la aplicación estaba de alguna manera troyanizada y que su uso podría exponer a la organización a un posible plan de exfiltración por parte de un actor de amenazas. […]

shutterstock_2223617299
Investigación paralela de vulnerabilidades de GitHub

El mes pasado encontré este artículo de Dark Reading. Parecía muy familiar. No me tomó mucho tiempo darme cuenta de que la vulnerabilidad de envenenamiento de artefactos entre flujos de trabajo de GitHub que se analiza en el artículo tenía un parecido sorprendente con la vulnerabilidad de envenenamiento de caché de flujos de trabajo cruzados de GitHub que informamos en marzo de 2022. Flujos de trabajo de GitHub: un componente clave de GitHub […]

Imagen de dados de riesgo.
Uso de SBOM y análisis de feeds para proteger su cadena de suministro de software

״Los proveedores de software deben ser considerados responsables cuando no cumplen con el deber de diligencia que deben a los consumidores, empresas o proveedores de infraestructura crítica ״(la Casa Blanca). Hoy en día, se espera que cualquier proveedor de software asuma una mayor responsabilidad para garantizar la integridad y seguridad del software a través de acuerdos contractuales, lanzamientos y actualizaciones de software, notificaciones y […]

Publicaciones Populares
Herramientas SBOM al rescate: el caso de puerta trasera de XZ UtilsPasos prácticos para proteger su canalización MLOpsDel caos a la claridad: navegando por el motor de políticas para el cumplimiento¿Qué es ASPM?®
Categorías