El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido se ha unido a sus homólogos de Australia, Canadá, Alemania, los Países Bajos, Nueva Zelanda y los EE. UU. para lanzar una guía que contiene consejos para ayudar a los fabricantes de tecnología a mantener seguros a los clientes mediante principios de seguridad por defecto en sus productos durante la fase de desarrollo.
Noble Cambiar el equilibrio del riesgo de seguridad cibernética: principios y enfoques para la seguridad por diseño y por defectola guía está disponible para descargar a través de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
El grupo dijo que los dispositivos y productos en los que la seguridad se ha tratado como una característica técnica adicional, o en los que los usuarios necesitan realizar cambios de configuración potencialmente complejos para mantenerse seguros después de la compra, dejan a las personas innecesariamente expuestas a riesgos de seguridad y posibles ataques cibernéticos.
La guía se presenta como un intento de reducir la carga de riesgo de los usuarios comunes al proporcionar a los fabricantes una hoja de ruta de los pasos prácticos que pueden y deben tomar.
“A medida que nuestras vidas se vuelven cada vez más digitales, es vital que los productos tecnológicos se diseñen y desarrollen de manera que la seguridad sea un requisito fundamental”, dijo Lindy Cameron, directora ejecutiva de NCSC.
“Nuestra nueva guía conjunta tiene como objetivo impulsar la conversación en torno a los estándares de seguridad y ayudar a girar el dial para que la carga del riesgo cibernético ya no recaiga en gran medida sobre el consumidor. Hacemos un llamado a los fabricantes de tecnología para que se familiaricen con los consejos de esta guía e implementen prácticas seguras por diseño y seguras por defecto en sus productos para ayudar a garantizar que nuestra sociedad sea segura y resistente en línea”.
La directora de CISA, Jen Easterly, dijo: “Asegurarse de que los fabricantes de software integren la seguridad en las primeras fases de diseño de sus productos es fundamental para construir un ecosistema tecnológico seguro y resistente.
“Estos principios de seguridad por diseño y seguridad por defecto tienen como objetivo ayudar a catalizar el cambio en toda la industria en todo el mundo para proteger mejor a todos los usuarios de tecnología. Dado que el software ahora impulsa los sistemas y servicios críticos de los que dependemos colectivamente todos los días, los consumidores deben exigir que los fabricantes prioricen la seguridad del producto por encima de todo”, dijo Easterly.
Abigail Bradshaw, directora del Centro Australiano de Seguridad Cibernética (ACSC), agregó: “La seguridad cibernética no puede ser una ocurrencia tardía. Los consumidores merecen productos que sean seguros desde el principio. El compromiso fuerte y continuo entre el gobierno, la industria y el público es vital para poner la seguridad cibernética en el centro del proceso de diseño de tecnología”.
Entre los contenidos de la guía se encuentran estrategias para involucrar a los líderes senior en los principios de seguridad; y pasos tácticos que los equipos de desarrollo pueden emprender para ayudar a las organizaciones a tomar posesión de los resultados de seguridad de sus productos, como eliminar las contraseñas predeterminadas e implementar funciones de inicio de sesión único (SSO), creando una línea de base predeterminada de seguridad mediante la cual los productos habilitan automáticamente lo más importante. los controles de seguridad necesarios para proteger a las empresas de los actores cibernéticos maliciosos.
Insta a las organizaciones a practicar una “transparencia y responsabilidad radicales”, por ejemplo, asegurándose de que los avisos de vulnerabilidad y los registros de exposición y vulnerabilidad comunes (CVE) recientemente identificados sean completos, precisos y públicos.
También contiene consejos para las organizaciones sobre cómo responsabilizar a sus propios proveedores de tecnología por los resultados de la seguridad cibernética y sugerencias sobre cómo mejorar la colaboración entre las cadenas de suministro para incentivar prácticas seguras.