La estrategia nacional de ciberseguridad exige prácticas de desarrollo más seguras: SAP respalda la seguridad desde el diseño

En un discurso del 27 de febrero en la Universidad Carnegie Mellon Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), hizo un llamado a las empresas de tecnología para que asuman una mayor responsabilidad en lo que respecta al diseño y la seguridad de sus productos. Unos días después, la administración de Biden publicó el largamente esperado Estrategia Nacional de Ciberseguridad (NCS), que confirma la intención del gobierno de EE. UU. de exigir que la industria de la tecnología asuma una mayor parte de la carga del riesgo cibernético.

Easterly dijo que los legisladores de EE. UU., así como los consumidores y usuarios de productos de terceros, han permitido que los programas de software plagados de vulnerabilidades o hardware que puede ser atacado en casi todos los niveles se conviertan en la norma.

“A medida que integramos la tecnología en casi todas las facetas de nuestras vidas, sin saberlo, hemos llegado a aceptar como normal que dicha tecnología sea peligroso por diseño,» ella dijo. Easterly pidió un cambio transformador para poner la responsabilidad en la industria de la tecnología para infundir seguridad en sus productos durante la fase de diseño.

El director de CISA calificó el status quo de la ciberseguridad comercial actual como “insostenible”, y dijo que las empresas, los consumidores y el gobierno deben cambiar colectivamente sus expectativas para hacer que los principales fabricantes de software y hardware, no los usuarios, sean responsables de los productos inseguros.

En el futuro, la Administración Biden pondrá un mayor énfasis en regular las opciones de diseño de seguridad y protección de los fabricantes de tecnología.

SAP apoya las soluciones y los sistemas seguros desde el diseño

El director cibernético nacional interino, Kemba Walden, dijo que se necesita que el sector privado dé un paso adelante con el gobierno. Estamos de acuerdo. SAP ha reconocido durante mucho tiempo sus responsabilidades de ofrecer productos y servicios seguros por diseño, dada la importancia de las cargas de trabajo que soporta nuestra cartera.

El NCS menciona explícitamente el papel de CISA Colaboración conjunta de ciberdefensa (JCDC) como un vehículo para asociaciones en el sector público y privado para unificar a los ciberdefensores de organizaciones de todo el mundo. SAP es una de las pocas empresas tecnológicas europeas no estadounidenses que se ha unido al JCDC como participantes activos para apoyar esta misión. Me complació poder contribuir personalmente en el intercambio de la industria la semana pasada en Nashville, TN para compartir nuestra experiencia en seguridad en la nube.

“SAP apoya el trabajo de CISA para fomentar productos y sistemas seguros desde el diseño. Apoyamos la filosofía de seguridad desde el diseño, que requiere prácticas de desarrollo seguras, y continuaremos asociándonos con el gobierno para discutir las pautas regulatorias cambiantes y lo que se necesitará para llenar los vacíos para la mejor defensa posible”, dice Tim McKnight, director de seguridad de SAP.

El enfoque de seguridad de SAP se basa en tres pilares fundamentales: Cree de forma segura, ejecute de forma segura y actúe de forma segura.

El primer pilar aborda el llamado de Easterly para infundir seguridad en la fase de diseño.

La creación de soluciones seguras por diseño implica tres componentes:

1. Cómo desarrollamos e implementamos software en la nube con un enfoque que prioriza la seguridad en cada etapa del ciclo de vida del desarrollo de software
2. Cómo nos asociamos con los principales proveedores de servicios en la nube para crear entornos en la nube seguros por diseño
3. Ofrecemos soluciones adicionales más allá de los elementos básicos de seguridad que los clientes pueden adoptar para elevar su postura de seguridad general.

Ciclo de vida de operaciones y desarrollo de software seguro para crear e implementar software en entornos de nube

Seguimos las distintas fases de la Ciclo de vida de operaciones y desarrollo de software seguro (SecSDOL).

Este ciclo se repite continuamente desde el desarrollo hasta la implementación e implica mejoras y ajustes continuos, informados y guiados por estándares y marcos líderes como el marco de seguridad cibernética NIST y los estándares ISO 270xx.

Al emplear estas medidas, buscamos continuamente optimizar nuestro enfoque de la seguridad.

Nos asociamos para crear entornos seguros desde el diseño

El segundo elemento de Building Securely es que nos asociamos para crear entornos seguros por diseño basados ​​en un arquitectura de confianza cero. El concepto de confianza cero se basa en la filosofía de que las empresas no deben confiar en nadie, ni dentro ni fuera de la red, tratando a los usuarios como «desconocidos» hasta que demuestren su identidad para obtener acceso a la red.

El desarrollo de nuestro entorno de nube se basa en un desarrollo estándar y seguro y en un ciclo de vida de las operaciones. Este enfoque permite que nuestro equipo de DevSecOps acuerde e implemente un enfoque coherente de seguridad.

Los entornos de nube admitidos se pueden clasificar en estas tres áreas principales:

1. El primero es el entorno de nube de SAP llamado SAP Converged Cloud.
2. El segundo tipo de entorno es SAP que utiliza nuestras asociaciones con proveedores de servicios en la nube como AWS, Microsoft Azure y Google Cloud Platform para administrar e implementar los activos de nuestros clientes.
3. La tercera es una opción de centro de datos del cliente que involucra a los socios tecnológicos Dell, Lenovo y HPE, donde brindamos la velocidad y agilidad de la nube al centro de datos del cliente. Esto les permite cumplir con los requisitos normativos en constante cambio y proteger la soberanía de sus datos, mientras se benefician de la escalabilidad y la economía de la nube.

Ofreciendo soluciones y servicios avanzados para aplicaciones y datos seguros

El tercer elemento de la construcción segura son las soluciones y servicios avanzados que ofrece SAP que ayudan a nuestros clientes a cumplir con sus responsabilidades para proteger las aplicaciones y los datos. Estas soluciones están disponibles además de nuestras funciones de seguridad estándar en nuestras ofertas en la nube.

Nuestras soluciones ayudan a abordar los desafíos en las áreas de:

• Gestión de identidad y acceso
• Transparencia y soberanía de datos
• Detección de amenazas y análisis de código.
• Gestión de riesgos
• Gobernanza de la privacidad.

Shift-Left, Secure-by-Design y Collaboration para mantener los datos seguros

El origen de la mayoría de las infracciones de seguridad en la nube radica en configuraciones incorrectas de la infraestructura que exponen recursos de manera involuntaria, vulnerabilidades conocidas en la pila de software de la solución y credenciales filtradas a través de repositorios de código fuente o archivos de configuración.

El ciclo de vida de operaciones y desarrollo de software seguro (SecSDOL) es fundamental para el enfoque de seguridad de SAP, incluidos los controles de seguridad en cada paso del desarrollo. Idealmente, los problemas de seguridad se detectan temprano y se solucionan dentro del ciclo de desarrollo («desplazamiento a la izquierda»).

Destino común

SAP solo puede enfrentar este desafío al comprender que tenemos un destino compartido: la única forma en que podemos mantener la nube de SAP segura es colaborando a través de los silos organizacionales, permitiendo que nuestros equipos de desarrolladores faciliten el cumplimiento de la seguridad y cumplan con las políticas de seguridad lo antes posible. en el ciclo de vida del desarrollo.

Este círculo de colaboración se extiende más allá de nuestros propios procesos internos para incluir a nuestros clientes y socios en los sectores público y privado con el entendimiento de que dependemos unos de otros. Juntos hacemos que el mundo funcione mejor, de forma segura.