El 12 de mayo de 2021, el presidente Biden firmó la Orden Ejecutiva sobre la mejora de la ciberseguridad nacional. Elaborada a raíz de la grave violación de la cadena de suministro del software SolarWinds Orion, la Orden insta a varias agencias del Gobierno federal de los Estados Unidos a coordinarse mejor para prevenir, detectar, responder y mitigar los incidentes y violaciones de seguridad mediante:
- Eliminar las barreras para compartir información sobre amenazas
- Modernización de las tecnologías y prácticas de ciberseguridad del Gobierno federal.
- Mejorar la seguridad de la cadena de suministro de software
- Establecimiento y estandarización del manual del Gobierno Federal para la respuesta ante vulnerabilidades e incidentes.
- Mejorar la detección de vulnerabilidades e incidentes de ciberseguridad en las redes del Gobierno federal.
- Mejorar las capacidades de investigación y remediación del Gobierno Federal.
Esta Orden Ejecutiva (EO) se basa en anteriores órdenes ejecutivas relacionadas con la ciberseguridad y exige a las agencias establecer normas uniformes basadas en el NIST, cuya aplicación comenzará en mayo de 2022.
Dado que esta orden ejecutiva introduce varios requisitos nuevos en materia de gestión de riesgos de terceros que deben aplicar las agencias federales, este artículo se centra en la sección 4. Mejora de la seguridad de la cadena de suministro de software. Si los proveedores de software no pueden cumplir estos requisitos, serán eliminados del Reglamento de Adquisiciones del Gobierno Federal, lo que significa que ya no podrán vender al gobierno. El Gobierno Federal publicará estos requisitos, incluidos los criterios de prueba y evaluación, a finales de año.
Cómo se aplica la gestión de riesgos de terceros a la orden ejecutiva del presidente
Los sistemas informáticos críticos del Gobierno federal han sido durante mucho tiempo objeto de ataques por parte de Estados nacionales. Los actores maliciosos saben que la vía más fácil y menos segura para acceder a los sistemas federales suele ser a través de servicios y software de terceros. Es posible que los proveedores externos no dispongan de los procesos o controles necesarios para detectar actividades o códigos maliciosos, y pueden exponer una amplia gama de información confidencial.
Las tecnologías y los procesos de gestión de riesgos de terceros pueden ayudar a cumplir las directrices del decreto ejecutivo que exigen a las organizaciones evaluar e informar sobre la seguridad del software. Los criterios del decreto ejecutivo incluyen evaluaciones de los controles de seguridad de los desarrolladores y proveedores, así como documentación que demuestre el cumplimiento de prácticas seguras.
La siguiente tabla resume algunos de los requisitos más importantes en materia de gestión de riesgos de terceros que se abordan en la orden ejecutiva, junto con las capacidades recomendadas por Prevalent para evaluar las prácticas de los proveedores.
| Orientación sobre la igualdad de oportunidades | Capacidades recomendadas |
|---|---|
| 4 (e) (i) (A)-(F)
Dichas directrices incluirán normas, procedimientos o criterios relativos a: |
Al evaluar las prácticas de seguridad del software de terceros, aproveche las plantillas de cuestionarios de evaluación de riesgos estandarizadas y aceptadas por la industria, incluyendo la Recopilación de Información Estándar (SIG), NIST, CMMC y evaluaciones relacionadas. El uso de una única evaluación estandarizada en toda su base de proveedores garantiza que las agencias puedan comparar de manera más eficiente las prácticas de seguridad del software de sus proveedores.
Nota: Las agencias también pueden aprovechar las redes de intercambio, que contienen evaluaciones de riesgos de seguridad ya completadas, para acelerar el proceso de identificación de riesgos. |
| 4 (e) (ii)
(ii) generar y, cuando lo solicite un comprador, proporcionar artefactos que demuestren la conformidad con los procesos establecidos en el inciso (e)(i) de esta sección; |
Al evaluar las prácticas de desarrollo de software seguro de un tercero, asegúrese de que dispone de la capacidad de centralizar las pruebas justificativas con una gestión integrada de tareas y aceptaciones, además de funciones de carga obligatorias. Un repositorio de documentos seguro garantiza que las partes pertinentes puedan revisar la documentación y los artefactos correspondientes. |
| 4 (e) (iii)
iii) emplear herramientas automatizadas o procesos comparables para mantener cadenas de suministro de código fuente fiables, garantizando así la integridad del código; |
Véase el apartado 4 (e) (i) (A)-(F) anterior. |
| 4 (e) (iv)
(iv) emplear herramientas automatizadas, o procesos comparables, que comprueben las vulnerabilidades conocidas y potenciales y las subsanen, y que funcionen con regularidad, o como mínimo antes del lanzamiento del producto, la versión o la actualización; |
Los terceros deben escanear, clasificar y corregir las vulnerabilidades de su software y código, y dar fe de ello. Pero las amenazas no terminan ahí. Los equipos de seguridad también deben supervisar Internet y la web oscura en busca de amenazas cibernéticas, credenciales filtradas u otros indicadores de compromiso que, si no se detectan, pueden abrir vías de acceso a los sistemas federales. |
| 4 (e) (v)
(v) proporcionar, cuando lo solicite un comprador, los artefactos de la ejecución de las herramientas y procesos descritos en los apartados (e)(iii) y (iv) de esta sección, y poner a disposición del público información resumida sobre la finalización de estas acciones, incluyendo una descripción resumida de los riesgos evaluados y mitigados; |
La presentación de informes es fundamental en este sentido. Los equipos federales de seguridad informática deben ser capaces de revelar las tendencias de riesgo, el estado, las soluciones y las excepciones al comportamiento habitual de proveedores individuales o grupos con información integrada obtenida mediante el aprendizaje automático. Esto permitiría a los equipos identificar rápidamente los valores atípicos en las evaluaciones, tareas, riesgos, etc., que podrían justificar una investigación más profunda. |
| 4 (e) (vi)
(vi) mantener datos precisos y actualizados, la procedencia (es decir, el origen) del código o los componentes del software, y los controles sobre los componentes, herramientas y servicios de software internos y de terceros presentes en los procesos de desarrollo de software, y realizar auditorías y aplicar estos controles de forma periódica; |
Los equipos federales de TI deben ser capaces de asignar automáticamente la información recopilada en las auditorías internas a las normas o marcos normativos aplicables en esta orden ejecutiva, incluidos NIST, CMMC y otros, para visualizar y abordar rápidamente las deficiencias de control importantes y dar fe de las prácticas. Creación de un programa de gestión de riesgos de terceros que cumpla con la orden ejecutiva sobre la mejora de la ciberseguridad de la nación. |
| 4 (e) (vii)
(vii) proporcionar al comprador una lista de materiales de software (SBOM) para cada producto, ya sea directamente o mediante su publicación en un sitio web público; |
Véase el apartado 4 (e) (i) (A)-(F) anterior. |
| 4 (e) (viii)
(viii) participar en un programa de divulgación de vulnerabilidades que incluya un proceso de notificación y divulgación; |
Véase el apartado 4 (e) (i) (A)-(F) anterior. |
| 4 (e) (ix)
(ix) certificar el cumplimiento de las prácticas de desarrollo de software seguro; y |
Véase el apartado 4 (e) (ii) anterior. A medida que los requisitos descritos en la Orden Ejecutiva sobre la mejora de la ciberseguridad nacional vayan tomando forma durante el próximo año, ahora es el momento de que las empresas de software informático creen o perfeccionen sus propios programas de gestión de riesgos de terceros. Entre las consideraciones clave deben figurar las siguientes: |
| 4 (e) (x)
(x) garantizar y certificar, en la medida de lo posible, la integridad y procedencia del software de código abierto utilizado en cualquier parte de un producto. |
Véase el apartado 4 (e) (vi) anterior. Identificar qué proveedores se consideran críticos y centrar los esfuerzos de evaluación en aquellos que presentan el mayor riesgo inherente para sus operaciones. |
- Evaluar periódicamente las prácticas seguras del ciclo de vida del desarrollo de software de terceros clave que aportan código o actualizaciones a sus compilaciones finales.
- Supervisar continuamente la web oscura, las conversaciones de hackers y otros foros relacionados en busca de actividades relacionadas con sus terceros.
- Clasificación y corrección de los resultados de la evaluación y el seguimiento
- Centralización de la documentación y la presentación de informes para los auditores.
Prevalent puede ayudar. Ofrecemos una solución SaaS que automatiza las tareas críticas necesarias para identificar, evaluar, analizar, remediar y supervisar continuamente los riesgos relacionados con la seguridad, la privacidad, las operaciones, el cumplimiento normativo y las adquisiciones de terceros en todas las etapas del ciclo de vida de los proveedores. Para obtener más información sobre cómo Prevalent puede ayudar, lea sobre nuestras capacidades de TPRM para la Orden Ejecutiva sobre la mejora de la ciberseguridad de la nación o póngase en contacto con nosotros para hablar sobre la estrategia hoy mismo.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
