La postura de seguridad es la capacidad de una organización para detectar, responder y solucionar amenazas. Incluye la preparación de las personas, el hardware, el software, las políticas y los procesos de una organización durante todo el ciclo de vida del software.
Existen varios frameworks y herramientas que puedes usar para evaluar tu posición de seguridad y descubrir formas de mitigar las amenazas.
Prácticas de entrega de software
Una postura de seguridad sólida requiere una base sólida en las prácticas recomendadas de entrega de software, y estas prácticas van más allá de la implementación de herramientas y controles técnicos. Por ejemplo, si el proceso de aprobación de cambios no es claro, es más fácil que los cambios no deseados ingresen a tu cadena de suministro de software. Si los equipos no se sienten alentados a plantear problemas, es posible que duden en informar inquietudes de seguridad.
Investigación y evaluación de DevOps (DORA) realiza investigaciones independientes sobre las prácticas y capacidades de los equipos de tecnología de alto rendimiento. Para evaluar el rendimiento de tu equipo y obtener información sobre cómo mejorar, usa los siguientes recursos de DORA:
- Realiza la verificación rápida de DevOps de DORA para obtener comentarios rápidos sobre cómo se compara tu organización con otras.
- Lee sobre las capabilities técnicas, de proceso, de medición y culturales de DevOps que identificó DORA.
Marcos de trabajo para la postura de seguridad
El Framework de Desarrollo Seguro de Software del NIST (SSDF) y el Marco de Evaluación de Seguridad Cibernética (CAF) son frameworks desarrollados por los gobiernos para ayudar a las organizaciones a evaluar su postura de seguridad y mitigar las amenazas de la cadena de suministro. Estos frameworks tienen en cuenta el ciclo de vida de desarrollo de software, así como otros aspectos relacionados con la seguridad del software, como los planes de respuesta ante incidentes. La complejidad y el alcance de estos frameworks pueden requerir una inversión sustancial de tiempo y recursos.
Niveles de cadena de suministro para artefactos de software (SLSA) es un framework cuyo objetivo es hacer que la evaluación y la implementación de mitigación sean más accesibles e incrementales. En él, se explican las amenazas de la cadena de suministro y las mitigaciones asociadas, y se proporcionan ejemplos de herramientas para implementar mitigaciones. También agrupa los requisitos para fortalecer tu postura de seguridad en niveles, de modo que puedas priorizar e implementar los cambios de forma incremental. El SLSA se enfoca principalmente en la canalización de entrega de software, por lo que debes usarlo junto con otras herramientas de evaluación, como el SSDF y el CAF.
La SLSA se inspira en la autorización binaria para Borg interna de Google, una verificación de aplicación forzosa obligatoria para todas las cargas de trabajo de producción de Google.
Google Cloud proporciona un conjunto modular de herramientas y capacidades que incorporan las prácticas recomendadas en la SLSA. Puedes ver estadísticas sobre tu postura de seguridad, incluso el nivel de SLSA de tus compilaciones.
Administración de artefactos y dependencias
La visibilidad de las vulnerabilidades en tu software te permite responder de forma proactiva y corregir posibles amenazas antes de lanzar tus aplicaciones a los clientes. Puedes usar las siguientes herramientas para obtener más visibilidad sobre las vulnerabilidades.
- Análisis de vulnerabilidades
- Los servicios de análisis de vulnerabilidades, como Artifact Analysis, ayudan a identificar vulnerabilidades conocidas en tu software.
- Administración de dependencias
Open Source Insights es una fuente centralizada de información sobre gráficos de dependencias, vulnerabilidades conocidas y licencias asociadas con software de código abierto. Usa el sitio para obtener información sobre tus dependencias.
El proyecto Open Source Insights también pone estos datos a disposición como un conjunto de datos de Google Cloud. Puedes usar BigQuery para explorar y analizar los datos.
- Política de control de código fuente
Scorecards es una herramienta automatizada que identifica prácticas riesgosas de la cadena de suministro de software en tus proyectos de GitHub.
Allstar es una app de GitHub que supervisa de forma continua las organizaciones o los repositorios de GitHub para verificar el cumplimiento de las políticas configuradas. Por ejemplo, puedes aplicar una política a tu organización de GitHub que busque colaboradores fuera de la organización que tengan acceso de administrador o de envío.
Para obtener más información sobre cómo administrar tus dependencias, consulta Administración de dependencias.
Conciencia del equipo sobre la seguridad cibernética
Si tus equipos comprenden las amenazas de la cadena de suministro de software y las prácticas recomendadas, pueden diseñar y desarrollar aplicaciones más seguras.
En el Estado de la seguridad cibernética 2021, Parte 2, una encuesta a profesionales de seguridad de la información, los encuestados informaron que los programas de capacitación y concientización sobre seguridad cibernética tuvieron algún impacto positivo (46%) o un impacto positivo importante (32%) en la concientización de los empleados.
Los siguientes recursos pueden ayudarte a obtener más información sobre la seguridad de la cadena de suministro y la seguridad en Google Cloud:
- En el plano de bases empresariales de Google Cloud, se describe la configuración de la estructura organizativa, la autenticación y autorización, la jerarquía de recursos, las herramientas de redes, el registro, los controles de detección y mucho más. Es una de las guías del centro de prácticas recomendadas para la seguridad de Google Cloud.
- Desarrollo de software seguro enseña prácticas fundamentales de desarrollo de software en el contexto de la seguridad de la cadena de suministro de software. El curso se enfoca en las prácticas recomendadas para diseñar, desarrollar y probar código, pero también abarca temas como el manejo de divulgaciones de vulnerabilidades, casos de garantía y consideraciones para la distribución y la implementación de software. La Open Source Security Foundation (OpenSSF) creó la capacitación.
Prepárate para el cambio
Después de identificar los cambios que deseas realizar, debes planificarlos.
- Identifica las prácticas recomendadas y las mitigaciones para mejorar la confiabilidad y la seguridad de tu cadena de suministro.
Desarrolla lineamientos y políticas para garantizar que los equipos implementen cambios y midan el cumplimiento de manera coherente. Por ejemplo, las políticas de tu empresa podrían incluir criterios para la implementación que implementas con la Autorización binaria. Los siguientes recursos pueden ayudarte:
- Producto mínimo viable y seguro, una lista de tareas de seguridad de controles para establecer una postura de seguridad de referencia para un producto. Puedes usar la lista de tareas para establecer tus requisitos mínimos de control de seguridad y evaluar el software de proveedores externos.
- Publicación Controles de seguridad y privacidad para sistemas de información y organizaciones (SP 800-53) del NIST
Planifica cambios incrementales para reducir el tamaño, la complejidad y el impacto de cada cambio. También ayuda a las personas de tus equipos a adaptarse a cada cambio, proporcionar comentarios y aplicar las lecciones que aprendiste a los cambios futuros.
Los siguientes recursos pueden ayudarte a planificar y, también, implementar el cambio.
ROI de la transformación de DevOps es un documento en el que se describe cómo predecir el valor de la inversión en la transformación de DevOps y justificarla.
El Programa de modernización de aplicaciones de Google Cloud proporciona una evaluación integral y guiada que mide los resultados clave (velocidad, estabilidad y agotamiento) y, además, identifica las capacidades técnicas, de procesos y culturales que mejoran esos resultados para tu organización. Consulta la entrada de blog sobre el anuncio de CAMP para obtener más información sobre el programa.
Cómo realizar la transformación te brinda orientación para ayudarte a planificar e implementar cambios. Fomentar una cultura que respalde el cambio incremental y continuo lleva a resultados de cambio más exitosos.
En el Framework de entrega de software seguro del NIST, se describen prácticas de seguridad de software basadas en prácticas establecidas de organizaciones como The Software Alliance, Open Web Application Security Project y SAFECode. Incluye un conjunto de prácticas para preparar a tu organización, así como prácticas para implementar cambios y responder a vulnerabilidades.
¿Qué sigue?
- Obtén información sobre las prácticas recomendadas para proteger tu cadena de suministro de software.
- Obtén información sobre la seguridad de la cadena de suministro de software y los productos y las funciones de Google Cloud que te ayudan a proteger tu cadena de suministro de software.