Seguridad por diseño y por defecto: Cómo WatchGuard cumple con la nueva guía de CISA
CISA y sus homólogos de todo el mundo han publicado nuevas directrices que aconsejan a los fabricantes de tecnología dar prioridad a la seguridad por diseño y la seguridad por defecto en todos los procesos de diseño y desarrollo de productos, e instan a los clientes a exigirles responsabilidades por hacerlo.
La medida pretende abordar un problema actual. Durante demasiado tiempo, las empresas se han visto obligadas a asumir la responsabilidad de los ciberataques y las brechas de datos causadas por la tecnología insegura que han adoptado. Mientras tanto, los propios proveedores eluden la responsabilidad por las lagunas de seguridad en sus productos y servicios con exenciones de responsabilidad y cláusulas de condiciones abusivas. Esto deja a los administradores con la obligación de asegurarse de que sus compras están debidamente reforzadas contra los ataques (y solos ante el peligro cuando falla ese endurecimiento).
Las nuevas directrices de la CISA animan a los fabricantes a adoptar rápidamente los principios de seguridad desde el diseño (construir sus productos de forma que estén razonablemente protegidos frente a las amenazas) y las configuraciones seguras por defecto (implementar una configuración segura por defecto). Las directrices pretenden transferir la mayor parte de la carga de la configuración segura y las vulnerabilidades de los productos de los clientes a los proveedores de tecnología, que están mejor equipados para hacerles frente.
Este cambio propuesto en el equilibrio de la responsabilidad por el riesgo de ciberseguridad es totalmente voluntario hoy en día, pero el documento es un presagio de nuevos requisitos reglamentarios en el horizonte. De hecho, la Sección 3 de la recientemente publicada Estrategia Nacional de Ciberseguridad de la Casa Blanca reconoce que los proveedores que distribuyen productos con configuraciones o vulnerabilidades inseguras por defecto es una de las principales causas de incidentes de seguridad, y expone una visión para trasladar la responsabilidad a los fabricantes.
Enfoque de WatchGuard de seguridad por diseño y seguridad por defecto
La responsabilidad es un valor fundamental en WatchGuard, y siempre hemos creído que la carga de la seguridad pertenece al fabricante de tecnología. Estamos contentos - pero no sorprendidos - de ver que la responsabilidad se mueve en esta dirección. Las políticas Secure-by-Design y -Default han sido y seguirán siendo un objetivo primordial dentro de nuestro proceso de diseño y desarrollo de productos. Veamos algunos ejemplos:
Seguridad por Diseño:
- Certificación ISO 27001 - Hemos llevado a cabo los rigurosos procesos de diseño, desarrollo y auditoría necesarios para conseguir la certificación ISO 27001 para WatchGuard Cloud, que demuestra que WatchGuard cumple las normas internacionales más exigentes para los sistemas de gestión de la seguridad de la información.
- Ciclo de vida de desarrollo de software seguro - Como parte de nuestro compromiso con un diseño seguro, WatchGuard se adhiere a estrictas políticas internas para probar proactivamente nuestros productos y servicios antes y después de su lanzamiento para identificar con precisión y resolver rápidamente las vulnerabilidades.
- CVE Certified Numbering Authority (CNA) Status - Hemos trabajado con la secretaría del programa CVE MITRE para convertirnos en una CVE Certified Numbering Authority para garantizar que WatchGuard pueda asignar rápida y directamente CVE IDs y publicar información crítica para cualquier vulnerabilidad que nosotros o investigadores externos identifiquemos en nuestros productos y servicios.
- Programa Bug Bounty - WatchGuard mantiene un programa privado activo de bug bounty y un canal público externo de notificación de vulnerabilidades con el fin de aprovechar la experiencia de la comunidad de seguridad en general para identificar y mitigar proactivamente las vulnerabilidades de los productos. Obtén más información sobre cómo gestionamos las vulnerabilidades de los productos aquí.
Seguridad por Defecto:
- Aprovechar la simplicidad para optimizar la seguridad - WatchGuard se compromete a ofrecer soluciones de seguridad simplificadas de nivel empresarial para organizaciones de todo tipo y tamaño. Como parte de esto, nos aseguramos de que nuestros productos Firebox y servicios de seguridad WatchGuard Cloud incluyan configuraciones predeterminadas optimizadas para la seguridad.
- Exigir contraseñas seguras - Desde nuestros dispositivos de seguridad Firebox hasta nuestros puntos de acceso seguro, todos los productos WatchGuard exigen a los clientes que cambien sus contraseñas por defecto por contraseñas seguras y únicas como otra medida crítica para eliminar posibles incidentes de seguridad.
- Endurecimiento integrado para la seguridad endpoint: el estado operativo predeterminado de las soluciones de seguridad endpoint de WatchGuard es el modo de endurecimiento, que utiliza nuestro servicio de aplicaciones Zero-Trust para evitar que se ejecute cualquier cosa que los usuarios descarguen de ubicaciones no fiables, como Internet, hasta que se confirme que es buena mediante nuestro proceso de atestación al 100%.
- Soporte MFA - WatchGuard soporta autenticación multifactor (MFA) para todas las cuentas de usuario de Firebox, incluyendo gestión, no gestión y acceso VPN, así como acceso a WatchGuard Cloud.
- WatchGuard está constantemente buscando formas de reforzar sus productos por defecto, incluyendo la actualización periódica de las configuraciones por defecto y la adición de notificaciones adicionales cuando se identifican configuraciones inseguras.
Orientaciones para los clientes
Como cliente de tecnología de ciberseguridad, las nuevas directrices de la CISA deberían suscitar un nuevo interés por responsabilizar a los fabricantes de la seguridad de sus productos. Ahora es el momento de establecer políticas que exijan a sus equipos evaluar la postura de seguridad de los proveedores de tecnología como parte de su proceso de selección de proveedores. Organice un plan para garantizar la adopción de productos seguros por diseño y por defecto. Y no olvide asociarse con sus proveedores de TI para reforzar la importancia de estas políticas.
No debería tener que soportar solo la carga de la seguridad, pero hasta que los requisitos regulatorios emergentes transfieran la responsabilidad a los proveedores, usar su voz y su billetera para mover la aguja es el camino más seguro a seguir.
Visite nuestro Trust Center t para obtener más información sobre las políticas y procesos que garantizan que los productos de WatchGuard son seguros tanto por diseño como por defecto.