El panorama de seguridad del software se encuentra en una coyuntura interesante. Como Jen Easterly, ex directora de la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), señaló que hay una lección que se debe extraer de la industria automotriz de la década de 1960. Su enfoque para mejorar la seguridad del automóvil mediante la construcción de mejores diseños, incluidos los cinturones de seguridad, las zonas de cruje y los marcos reforzados, demostró ser mucho más efectivo para salvar vidas que responder a los accidentes después de que ocurrieron.
Los proveedores de software deben adoptar el mismo enfoque y ofrecer soluciones seguras por diseño, pasando de la gestión de riesgos reactivos a la responsabilidad proactiva para abordar las amenazas cibernéticas aumentadas. Eso requerirá una comprensión clara de la naturaleza fragmentada y superpuesta de muchos de los estándares de la industria, la adopción de herramientas innovadoras como los acuerdos de nivel de protección cibernética (CPLA) y garantizando la gestión de servicios durante la vida.
Estándares fragmentados y superpuestos
Ha habido una rápida expansión en el número de marcos de seguridad en todo el mundo en los últimos años, incluida ISO 27001 (incluyendo ISO/IEC27034), NIST, OWASP y la Ley de Resiliencia Cibernética de la UE. Muchas organizaciones, a menudo impulsadas por presiones regulatorias, de clientes o clientes, han tratado de seguir estos estándares. Sin embargo, para aquellos que operan a través de múltiples jurisdicciones geográficas, estos estándares superpuestos y, a veces, conflictivos hacen que sea difícil cumplir. Cuando se trata de adquisiciones de software, muchos CISO están luchando con la evaluación de los proveedores y preocupados por la probabilidad de brechas en la seguridad.
Sin un enfoque unificado de los estándares, las organizaciones corren el riesgo de exposición a vulnerabilidades que explotan las brechas. Los ataques de la cadena de suministro, como la violación de SolarWinds Sunburst o el incidente de la actualización de software CrowdStrike, son recordatorios de lo que está en juego: interrupción operativa, acción legal y daños a la confianza de las partes interesadas. Los estándares más consistentes no solo mitigarían estos riesgos sino que simplificarían el cumplimiento.
¿Qué son los CPLA?
Los CPLA ofrecen una solución práctica formalizando los compromisos de seguridad de los proveedores dentro de los contratos de adquisición. Proporcionan una forma de garantizar que los proveedores de software seguros estén pensando en el cumplimiento de los muchos estándares de seguridad cibernética tanto actuales como futuras. Modelados en los acuerdos de nivel de servicio (SLA), los CPLA definen estándares medibles, como evaluaciones de vulnerabilidad, plazos de parcheo y protocolos de informes de incidentes para crear obligaciones claras y aplicables.
La ambigüedad en los compromisos de proveedores a menudo conduce a riesgos prevenibles, pero al especificar los requisitos extraídos de los estándares y la regulación aplicables, las CPLA crean responsabilidad. Esto evita que los proveedores corten las esquinas y garantice un nivel constante de protección.
CPLAS debe especificar:
- Garantas de tiempo de parche: Vulnerabilidades críticas parcheadas en 72 horas.
- Transparencia de la factura de software de materiales (SBOM): Divulgación completa de componentes de software, incluidas bibliotecas de terceros.
- Respuesta de incidentes KPI: Objetivos de tiempo de recuperación definidos y obligaciones de informes por infracciones.
- Compromisos del ciclo de vida: Actualizaciones continuas y planes de transición al final de la vida.
Al establecer objetivos claros y exigibles para sus proveedores, las organizaciones deben ver reducciones en el tiempo de inactividad, vectores de ataque minimizados y menos incidentes.
Gestión de servicios hasta la vida
La adquisición segura de software requiere una gestión continua. Esto se puede lograr con la gestión de servicios a través de la vida, que incluye auditorías regulares, monitoreo de vulnerabilidad y planes de aler de la vida claramente definidos para administrar la seguridad desde la adquisición hasta el desmantelamiento. Sin la gestión de la vida durante la vida, las organizaciones corren el riesgo de heredar software no compatible o inseguro, lo que lleva a vulnerabilidades operativas y a costos crecientes.
Creación de responsabilidad en adquisiciones seguras de software
Estos riesgos subrayan la necesidad de integrar la seguridad en la adquisición y se aseguran de que se considere un proceso continuo, no una tarea única. Esto comienza alinear la adquisición con objetivos de seguridad a largo plazo y requerir que los proveedores demuestren principios seguros por diseño. Los CPLA deben integrarse en contratos y SBOMS de proveedores y prácticas seguras de desarrollo evaluadas como parte del proceso.
En el punto de transición de servicio, el software debe validarse a través de pruebas rigurosas, como pruebas de penetración. Una vez que el servicio está en funcionamiento, es necesario monitorear el rendimiento contra las métricas de CPLA. Todo esto debería ir acompañado de un enfoque en la mejora continua de servicios para aprovechar las revisiones de incidentes para aprender lecciones para futuros contratos.
Incrustar estos principios coloca a las organizaciones en una posición más fuerte al negociar con los proveedores.
Aprovechar la IA para consolidar los estándares
La inteligencia artificial (IA) también puede desempeñar un papel fundamental en la navegación de este panorama de seguridad fragmentado. Los procesos actuales para evaluar y armonizar los estándares son manuales, inconsistentes y propensos a errores. Las herramientas de IA equipadas con el procesamiento del lenguaje natural pueden mapear superposiciones entre los estándares, creando requisitos unificados que se pueden rastrear a los marcos originales, ahorrando tiempo para los equipos de adquisición. Las herramientas emergentes de monitoreo de cumplimiento en tiempo real tienen el potencial de hacer cumplir las obligaciones de seguridad automáticamente, reduciendo el error humano y aumentando la eficiencia.
Colaboración: un camino hacia los estándares armonizados
Mientras que las herramientas CPLAS y AI ofrecen soluciones internas, el cambio sistémico requiere colaboración. Los consorcios de compradores y la alineación regulatoria, como se ve con la Ley de Resiliencia Cibernética de la UE, pueden establecer líneas de base de seguridad universal.
Este tipo de colaboración reduce la duplicación, optimiza el cumplimiento y reduce los costos para proveedores y compradores por igual. Los estándares universales crean un campo de juego de nivel, lo que facilita a las organizaciones identificar proveedores seguros y confiables.
Siguientes pasos para CISO y líderes de adquisiciones: conclusión
La adquisición segura de software en 2025 es vital. Al unificar los estándares fragmentados, hacer cumplir la responsabilidad de los proveedores a través de CPLA y adoptar la gestión de servicios a través de la vida, las organizaciones pueden mitigar los riesgos y mejorar la resiliencia. Las apuestas son altas, pero también lo son las oportunidades. Actuar decisivamente ahora puede proteger a las organizaciones de las amenazas cibernéticas y remodelar la industria del software en una que priorice la seguridad tanto como la innovación.
Robert Campbell, es un experto en seguridad cibernética en PA Consulting