Los tres pilares para el desarrollo de dispositivos seguros
En los últimos años, a medida que aumentan los ataques de ransomware y continúa la expansión del malware basado en firmware, los dispositivos remotos y de uso personal se han convertido en un objetivo creciente.
Al pensar en la protección de un ordenador hay que tener en cuenta una serie de aspectos relacionados con la manera en que el dispositivo contribuye al estado general de seguridad de una organización, cómo ese equipo ayuda a prevenir ataques, qué lo mantiene seguro mientras sufre un ataque o cómo se mantiene seguro durante toda su vida útil.
En este sentido, Dell Technologies considera una serie de prácticas seguras al desarrollar los ordenadores, totalmente alineadas con los estándares de la industria, que admiten un enfoque de seguridad Zero Trust y que se basan en tres pilares básicos: una cadena de suministro segura, un código seguro y seguridad en el uso de los dispositivos.
1. Asegurar la cadena de suministro de los dispositivos, es decir, estrictos controles en las cadenas de suministro tanto para el hardware como para el software, también conocidas como cadenas de suministro físicas y digitales. Estos controles ayudan a mantener la integridad de los productos en los procesos de fabricación, ensamblaje, entrega y durante la implementación, lo que garantiza que los clientes obtengan exactamente lo que compraron.
Así, en la era de “no confiar en nadie” o de Zero Trust, deben incluirse verificaciones durante cada paso del proceso. Estas comprobaciones incorporan tecnologías avanzadas, como la verificación segura de los componentes, para identificar intercambios de componentes, y la verificación SafeBIOS, mediante un proceso fuera del servidor, para identificar y alertar sobre cualquier manipulación del firmware. Unos procesos de seguridad que también se mantienen durante toda la cadena de suministro y que ayudan a detectar cualquier error antes de abordar el siguiente paso.
2. Diseño y desarrollo de dispositivos seguros, con hardware y firmware efectivos e innovadores.
Tanto el diseño como el desarrollo y las pruebas posteriores se rigen por el ciclo de vida de desarrollo seguro (SDL) prescriptivo. Sobre todo, porque la responsabilidad final de los proveedores de tecnología es garantizar que lo que venden no suponga un riesgo para los usuarios debido a errores o vulnerabilidades. Para ayudar a prevenir ataques y proporcionar resiliencia a la pila de software de seguridad, también se lleva a cabo un riguroso modelado de amenazas durante el proceso de desarrollo del software, identificando posibles riesgos frente a supuestos ataques sofisticados e, incluso, aplicando esta metodología al hardware crítico.
3. Garantizar la seguridad de los dispositivos mientras se usan. Hoy en día, la verdadera seguridad incluye protección a nivel de hardware, firmware y software que garantice la protección contra amenazas avanzadas. Debido a que los ciber-criminales están constantemente innovando nuevas formas para entrar en el software, las prácticas de SDL están diseñadas para ampliar la protección posterior al lanzamiento, incluida la capacidad de identificar y corregir vulnerabilidades de forma rápida y sencilla. A su vez, resulta fundamental informar, de forma proactiva y periódica, de las actualizaciones y políticas de soporte de seguridad, y de cómo los productos permanecen protegidos durante toda su vida útil. Todo ello, con el objetivo de conseguir un mundo seguro y conectado, además de mantener los datos, la red, la organización y la seguridad de los clientes por encima de todo.