
En un discurso del 27 de febrero en la Universidad Carnegie Mellon Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), hizo un llamado a las empresas de tecnología para que asuman una mayor responsabilidad en lo que respecta al diseño y la seguridad de sus productos. Unos días después, la administración de Biden publicó el largamente esperado Estrategia Nacional de Ciberseguridad (NCS), que confirma la intención del gobierno de EE. UU. de exigir que la industria de la tecnología asuma una mayor parte de la carga del riesgo cibernético.
Easterly dijo que los legisladores de EE. UU., así como los consumidores y usuarios de productos de terceros, han permitido que los programas de software plagados de vulnerabilidades o hardware que puede ser atacado en casi todos los niveles se conviertan en la norma.
“A medida que integramos la tecnología en casi todas las facetas de nuestras vidas, sin saberlo, hemos llegado a aceptar como normal que dicha tecnología sea peligroso por diseño,» ella dijo. Easterly pidió un cambio transformador para poner la responsabilidad en la industria de la tecnología para infundir seguridad en sus productos durante la fase de diseño.
El director de CISA calificó el status quo de la ciberseguridad comercial actual como “insostenible”, y dijo que las empresas, los consumidores y el gobierno deben cambiar colectivamente sus expectativas para hacer que los principales fabricantes de software y hardware, no los usuarios, sean responsables de los productos inseguros.
En el futuro, la Administración Biden pondrá un mayor énfasis en regular las opciones de diseño de seguridad y protección de los fabricantes de tecnología.
El director cibernético nacional interino, Kemba Walden, dijo que se necesita que el sector privado dé un paso adelante con el gobierno. Estamos de acuerdo. SAP ha reconocido durante mucho tiempo sus responsabilidades de ofrecer productos y servicios seguros por diseño, dada la importancia de las cargas de trabajo que soporta nuestra cartera.
El NCS menciona explícitamente el papel de CISA Colaboración conjunta de ciberdefensa (JCDC) como un vehículo para asociaciones en el sector público y privado para unificar a los ciberdefensores de organizaciones de todo el mundo. SAP es una de las pocas empresas tecnológicas europeas no estadounidenses que se ha unido al JCDC como participantes activos para apoyar esta misión. Me complació poder contribuir personalmente en el intercambio de la industria la semana pasada en Nashville, TN para compartir nuestra experiencia en seguridad en la nube.
“SAP apoya el trabajo de CISA para fomentar productos y sistemas seguros desde el diseño. Apoyamos la filosofía de seguridad desde el diseño, que requiere prácticas de desarrollo seguras, y continuaremos asociándonos con el gobierno para discutir las pautas regulatorias cambiantes y lo que se necesitará para llenar los vacíos para la mejor defensa posible”, dice Tim McKnight, director de seguridad de SAP.
El enfoque de seguridad de SAP se basa en tres pilares fundamentales: Cree de forma segura, ejecute de forma segura y actúe de forma segura.
El primer pilar aborda el llamado de Easterly para infundir seguridad en la fase de diseño.
La creación de soluciones seguras por diseño implica tres componentes:
Seguimos las distintas fases de la Ciclo de vida de operaciones y desarrollo de software seguro (SecSDOL).
Este ciclo se repite continuamente desde el desarrollo hasta la implementación e implica mejoras y ajustes continuos, informados y guiados por estándares y marcos líderes como el marco de seguridad cibernética NIST y los estándares ISO 270xx.
Al emplear estas medidas, buscamos continuamente optimizar nuestro enfoque de la seguridad.
El segundo elemento de Building Securely es que nos asociamos para crear entornos seguros por diseño basados en un arquitectura de confianza cero. El concepto de confianza cero se basa en la filosofía de que las empresas no deben confiar en nadie, ni dentro ni fuera de la red, tratando a los usuarios como «desconocidos» hasta que demuestren su identidad para obtener acceso a la red.
El desarrollo de nuestro entorno de nube se basa en un desarrollo estándar y seguro y en un ciclo de vida de las operaciones. Este enfoque permite que nuestro equipo de DevSecOps acuerde e implemente un enfoque coherente de seguridad.
Los entornos de nube admitidos se pueden clasificar en estas tres áreas principales:
El tercer elemento de la construcción segura son las soluciones y servicios avanzados que ofrece SAP que ayudan a nuestros clientes a cumplir con sus responsabilidades para proteger las aplicaciones y los datos. Estas soluciones están disponibles además de nuestras funciones de seguridad estándar en nuestras ofertas en la nube.
Nuestras soluciones ayudan a abordar los desafíos en las áreas de:
El origen de la mayoría de las infracciones de seguridad en la nube radica en configuraciones incorrectas de la infraestructura que exponen recursos de manera involuntaria, vulnerabilidades conocidas en la pila de software de la solución y credenciales filtradas a través de repositorios de código fuente o archivos de configuración.
El ciclo de vida de operaciones y desarrollo de software seguro (SecSDOL) es fundamental para el enfoque de seguridad de SAP, incluidos los controles de seguridad en cada paso del desarrollo. Idealmente, los problemas de seguridad se detectan temprano y se solucionan dentro del ciclo de desarrollo («desplazamiento a la izquierda»).
SAP solo puede enfrentar este desafío al comprender que tenemos un destino compartido: la única forma en que podemos mantener la nube de SAP segura es colaborando a través de los silos organizacionales, permitiendo que nuestros equipos de desarrolladores faciliten el cumplimiento de la seguridad y cumplan con las políticas de seguridad lo antes posible. en el ciclo de vida del desarrollo.
Este círculo de colaboración se extiende más allá de nuestros propios procesos internos para incluir a nuestros clientes y socios en los sectores público y privado con el entendimiento de que dependemos unos de otros. Juntos hacemos que el mundo funcione mejor, de forma segura.
Calle Eloy Gonzalo, 27
Madrid, Madrid.
Código Postal 28010
Paseo de la Reforma 26
Colonia Juárez, Cuauhtémoc
Ciudad de México 06600
Real Cariari
Autopista General Cañas,
San José, SJ 40104
Av. Jorge Basadre 349
San Isidro
Lima, LIM 15073