La Casa Blanca emite una guía de seguridad cibernética para proveedores de software

Publicado el: 16 de septiembre de 2022

La Casa Blanca publicó el miércoles una guía de seguridad cibernética para proveedores de software que sirvió como una extensión de una orden ejecutiva que el presidente Joe Biden firmó en 2021.

Biden firmó "Mejorando la seguridad cibernética de la nación" en mayo de 2021, que describió planes para modernizar el enfoque de seguridad cibernética de los Estados Unidos e implementar técnicas como la autenticación multifactor. una parte de la orden ejecutiva planes de referencia para proporcionar pautas para el software comprado e implementado dentro de las redes gubernamentales, que figuraba en el miércoles memorando.

En una casa blanca ambiental también publicado el miércoles, el CISO federal y director cibernético nacional adjunto, Chris DeRusha, dijo que si bien el único criterio de calidad para una pieza de software solía ser si funcionaba como se anunciaba, la tecnología actual debe desarrollarse de una manera que la haga resistente y segura. .

“La guía, desarrollada con aportes del sector público y privado, así como de la academia, dirige a las agencias a usar solo software que cumpla con los estándares de desarrollo de software seguro, crea un formulario de autocertificación para los productores y agencias de software, y permitirá que el gobierno federal para identificar rápidamente las brechas de seguridad cuando se descubren nuevas vulnerabilidades”, dijo.

La guía de seguridad cibernética de Biden también requería que las agencias del gobierno federal adquirieran un formulario de autocertificación de un proveedor de software que confirmara que el producto cumple con la guía de seguridad de la Instituto Nacional de Estándares y Tecnología (NIST) antes de usar cualquier software nuevo.

Dependiendo de la agencia, es posible que el proveedor de software también deba demostrar el cumplimiento a través de artefactos que incluyen una lista de materiales de software (SBOM). Además, es posible que se le solicite al proveedor que proporcione evidencia de que participa en un programa de divulgación de vulnerabilidades.

Si bien la orden ejecutiva y las pautas no requieren legalmente que los proveedores privados lancen software seguro y compatible, DeRusha dijo que esta acción era necesaria luego del ataque a la cadena de suministro de SolarWinds en 2020. Este ataque cibernético provocó que varias agencias gubernamentales fueran víctimas de filtraciones de datos.

“Este incidente fue uno de una serie de intrusiones cibernéticas y vulnerabilidades de software significativas en los últimos dos años que han amenazado la prestación de servicios gubernamentales al público, así como la integridad de grandes cantidades de información personal y datos comerciales que son administrados por el sector privado”, agregó DeRusha en su comunicado.