Saltar al contenido principal

Por qué la transparencia es la base de la confianza en materia de ciberseguridad

7 minutos leídos
etiquetas:
escrito por:
La transparencia es la base de la confianza en materia de ciberseguridad

Alguien sabio dijo una vez: «cuanta más gente invites a tu casa, más ordenada estará». El mismo principio de apertura se puede aplicar con la misma facilidad al mundo empresarial. Cuanto más transparente sea una organización, en sus procesos y cultura, más disciplinada es probable que sea en sus operaciones.  La transparencia es la base para generar confianza entre proveedores, clientes y socios, y este es aún más el caso en relación con la ciberseguridad. Aquí exploramos los factores fundamentales que proporcionan esa transparencia y, con ella, la confianza.

El imperativo de un enfoque transparente en materia de ciberseguridad

Los riesgos y las posibles consecuencias de los ciberataques y las filtraciones de datos son, con razón, una prioridad clara en la agenda de todas las organizaciones. Las empresas e instituciones públicas de todos los sectores ya no están dispuestas a aceptar las afirmaciones de valor de los proveedores sobre la seguridad de sus productos y soluciones. De hecho, en muchos países y regiones, la legislación exige que tengan una mayor comprensión de la seguridad de los productos y servicios utilizados dentro de su organización.

La idea de que ocultar los detalles y el funcionamiento de un sistema es la mejor manera de mejorar su seguridad, a menudo conocida como «seguridad mediante la oscuridad», ha sido desacreditada en gran medida. El National Institute of Standards and Technology (NIST) de EE. UU. afirma que «la seguridad de los sistemas no debe depender del secreto de la implementación o de sus componentes».

La comprensión de las prácticas de seguridad de un proveedor tecnológico es un aspecto primordial para la realización de evaluaciones de riesgos de proveedores. Estas evaluaciones examinan el impacto potencial que los productos de un proveedor pueden tener en la red y los sistemas conectados del cliente, y determinan si el proveedor cuenta con las medidas adecuadas para mitigar los riesgos. 

Por lo tanto, los clientes exigen una visibilidad completa de todos los aspectos del enfoque de un proveedor para respaldar una seguridad óptima del producto y mantenerla a lo largo de todo el ciclo de vida útil de los productos. Esta demanda de transparencia debe aceptarse, ya que es fundamental para determinar si los productos de un proveedor pueden respaldar la postura de seguridad de un cliente y para generar confianza entre proveedores, socios y clientes. 

Las múltiples ventajas de la transparencia 

Cuando un fabricante de tecnología es transparente sobre sus prácticas de seguridad, demuestra fundamentalmente un compromiso a la hora de garantizar la seguridad de sus productos. Esto incluye proporcionar las funciones de seguridad y los ajustes que permiten a los clientes utilizar los productos de la forma más segura posible para proteger sus propios sistemas y datos.  

La transparencia también permite una colaboración y un intercambio de información más eficaces con clientes y socios, lo que les permite abordar rápidamente cualquier vulnerabilidad de software recientemente descubierta. 

Además, la transparencia ayuda tanto a los fabricantes como a los clientes a aprender de incidentes de seguridad pasados y a mejorar sus posturas generales en materia de seguridad. Las decisiones informadas pueden ayudar a evitar futuros incidentes y garantizar la protección continua de los datos e información de los clientes.

Más allá de los requisitos de las certificaciones en materia de ciberseguridad

En este contexto, las normas y certificaciones del sector pueden proporcionar una garantía útil del compromiso de una empresa con la ciberseguridad básica. Naturalmente, cuando la ley exige esas certificaciones, los proveedores deben demostrar su cumplimiento. También son valiosas a la hora de establecer una línea de base que pueda ser contractualmente vinculante cuando las empresas se comprometen entre ellas para proporcionar servicios a sus clientes. Los clientes también pueden utilizar las pruebas de certificaciones durante el proceso de compra para garantizar que los fabricantes cubran los requisitos mínimos. 

No obstante, se debe evitar el uso de certificaciones a modo de «bala de plata» para demostrar un enfoque integral de la ciberseguridad. Las certificaciones atestiguan una seguridad básica mínima en un momento específico a la que se adhiere una empresa, independientemente de si se trata de seguridad de la información corporativa (ISO 27001, diversas normativas de exportación de ciberseguridad, etc.) o certificaciones de seguridad centradas en los productos (FIPS 140, ETSI EN 303 645 y otras normas específicas de cada país)

Además, las normas y certificaciones, por naturaleza, a menudo pueden ser amplias para cubrir industrias específicas y sus casos de uso y, por lo tanto, no siempre son relevantes para casos de uso especializados. Por ejemplo, la norma IEC 62443 se centra específicamente en la automatización industrial y los sistemas de control, que son menos relevantes en materia de seguridad física.

Desde una perspectiva comercial, se puede correr el riesgo de utilizar las certificaciones y el cumplimiento de las normas como una función de casilla de verificación y una estrategia para obtener ventajas competitivas durante los procesos de compra, con la intención de recopilar tantas certificaciones como sea posible para reforzar la apariencia de tener una «buena» posición en materia de ciberseguridad. Este suele ser el caso si los requisitos estándar y técnicos están «bloqueados» tras la compra y no están disponibles públicamente de forma gratuita. 

Por último, los avances en tecnología, procesos y productos suelen ir mucho más rápido que el proceso de estandarización, lo que significa que los fabricantes que solo dependen de la certificación se quedarán atrás en sus innovaciones tecnológicas. Por ejemplo, contar con cifrado de red MACsec IEEE 802,1AE en los productos endurece significativamente la comunicación de red, pero la tecnología o las mejores prácticas de uso de MACsec para proteger redes no se especifican en los estándares actuales.

En resumen, aunque las certificaciones y las normas tienen algún valor, deben considerarse como una línea de referencia y no un objetivo, y como complementarias a las actividades más amplias relacionadas con la ciberseguridad de un proveedor. 

En búsqueda de pruebas de la transparencia

Al considerar a los proveedores, hay algunas pruebas claras que demuestran un compromiso con la transparencia en el desarrollo de productos y software, y a lo largo de todo el ciclo de vida útil del producto en relación con la ciberseguridad. Entre ellas, se incluyen:

  • Proporcionar a los clientes información sobre las actividades y medidas de seguridad adoptadas a lo largo de todo el ciclo de vida útil del producto, desde las fases de desarrollo, producción y distribución hasta la implementación, el servicio y el desmantelamiento. Estos conocimientos también deben incluir cómo está protegida toda la cadena de suministro del proveedor.   
  • Publicación de políticas y prácticas de seguridad tanto para el desarrollo de productos como para el enfoque del proveedor hacia la seguridad interna de la empresa. Disponer de un conjunto claro y disponible públicamente de políticas y procedimientos para proteger la información y los datos de los usuarios demuestra el compromiso de la empresa con la seguridad y la responsabilidad.  
  • Realizar periódicamente evaluaciones y auditorías de seguridad independientes para ayudar a identificar y abordar posibles debilidades de seguridad, y proporcionar a los clientes la garantía de que la empresa se toma la seguridad en serio. Puede tratarse de evaluaciones a nivel organizativo, como las evaluaciones de la norma ISO/IEC 27001, o a nivel de producto específico, como las pruebas de penetración de terceros.
  • Ofrecer productos que hagan que sea técnicamente sencillo para terceros, organizaciones y autoridades evaluar la posición de seguridad de los productos. Esto incluye no cifrar el software del dispositivo ni otras actividades para respaldar la «seguridad mediante la oscuridad». La provisión de una lista de materiales de software (SBOM), que enumera los «ingredientes» que componen cada pieza de software, también es esencial. La SBOM detalla todos los componentes de código abierto y de terceros presentes en un software, las licencias que rigen esos componentes, las versiones de los componentes utilizados en el software y el estado de cualquier parche necesario para mantener la seguridad.
  • Transparencia en la notificación de incidentes de seguridad cuando se producen, tanto en relación con la organización del proveedor como con sus productos. Los proveedores deben tener una política clara para la gestión de vulnerabilidades. Esto garantizará la comunicación sobre la naturaleza del incidente, cómo se descubrió inicialmente, las medidas tomadas para abordar la vulnerabilidad (incluidas las acciones solicitadas por los clientes) y las acciones adoptadas para evitar futuros incidentes.
  • Proporcionar a clientes y socios actualizaciones periódicas sobre la posición de seguridad de la empresa. La información sobre cualquier cambio en las políticas o prácticas de seguridad no solo les ayuda a mantenerse informados, sino que, lo que es más importante, les permite actuar de forma rápida para proteger sus propios productos, servicios y procesos. Además, permitir a los clientes y socios suscribirse a un servicio de notificación de seguridad les da la oportunidad de responder a los problemas de seguridad de forma rápida.
  • Animar activamente a los clientes e investigadores a informar de las posibles vulnerabilidades de seguridad que descubran ayudará a la empresa a identificar y abordar los posibles problemas antes de que puedan explotarse. Formar parte del programa CVE para revelar las ID de CVE y también establecer un programa de recompensas por la detección de errores demuestra la madurez y transparencia de la ciberseguridad del proveedor, así como la confianza en sus procesos de desarrollo seguros. 
  • Ayudar a los clientes en un proceso proactivo de gestión del ciclo de vida útil de los productos, permitiéndoles planificar el desmantelamiento y la sustitución de los productos. Para ello, es fundamental detallar la fecha de finalización del periodo de asistencia para el software del dispositivo lo antes posible, idealmente inmediatamente después del lanzamiento del producto.  

Todos los proveedores deben comprometerse a hacer todo lo posible para ofrecer productos que respalden los requisitos de ciberseguridad de un cliente. Las certificaciones y normas solo llegan hasta aquí. La transparencia es esencial. Las prácticas y políticas publicadas, las evaluaciones y auditorías de seguridad independientes periódicas, y las divulgaciones abiertas sobre incidentes de seguridad son formas más fiables de generar confianza en el compromiso de un proveedor con la protección de datos y el suministro de productos con una ciberseguridad sólida.

Puede encontrar más información sobre nuestro enfoque en materia de ciberseguridad aquí.

André Bastert

Andre Bastert es un Global Product Manager en Axis Communications. Es responsable de la plataforma de software AXIS OS que alimenta los dispositivos de red de AXIS. Andre se centra en todo lo relacionado con la ciberseguridad, la integración de la infraestructura/seguridad de TI y el aspecto de gestión del ciclo de vida del software para nuestros productos. Andre inició su carrera profesional en Axis en 2014 en el departamento de servicios técnicos. Antes de asumir su cargo actual, trabajó como especialista de producto para cámaras PTZ y AXIS OS. Cuando no está trabajando, André pasa tiempo con su familia y disfruta haciendo reformas y practicando el bricolaje.

Andre Bastert
To top