A Cybersecurity and Infrastructure Security Agency (CISA) e o Federal Bureau of Investigation (FBI) lançaram no dia 18/08 o Secure by Demand Guide: How Software Customers Can Drive a Secure Technology Ecosystem, que ajuda as organizações que compram software a entender melhor a abordagem dos fabricantes de software para a segurança cibernética e garantir que a segurança por design seja uma de suas principais considerações.
A equipe de aquisição de uma organização geralmente tem uma compreensão geral dos principais requisitos de segurança cibernética para uma aquisição de tecnologia específica. No entanto, eles frequentemente não avaliam se um determinado fornecedor tem práticas e políticas em vigor para garantir que a segurança seja uma consideração principal desde os estágios iniciais do ciclo de vida de desenvolvimento do produto.
Este guia fornece às organizações perguntas a serem feitas ao comprar software, considerações para integrar a segurança do produto em vários estágios do ciclo de vida de aquisição e recursos para avaliar a maturidade da segurança do produto em linha com os princípios de segurança por design. Informado pelo cenário de ameaças, ele fornece conjuntos categorizados de ações que, se feitas corretamente, demonstrarão ao cliente que o fabricante do software está tomando medidas que reduzirão defeitos exploráveis e configurações incorretas – um produto mais seguro para o cliente.
“Estamos felizes em ver os principais fornecedores de tecnologia reconhecerem que seus produtos precisam ser mais seguros e aderirem voluntariamente ao compromisso Secure by Design. As empresas também podem ajudar a mover a agulha tomando melhores decisões informadas sobre riscos ao comprar software”, disse a diretora da CISA, Jen Easterly. “Este novo guia ajudará os clientes de software a entender como eles podem usar seu poder de compra para adquirir produtos seguros e transformar Secure by Design em Secure by Demand.”
Este guia é conciso e pode ser usado por qualquer cliente de software durante discussões de aquisição com revendedores ou provedores de serviços terceirizados. As recomendações neste guia incluem obter a lista de materiais do software do fabricante que lista os componentes de terceiros, roteiros que identificam como eles planejam eliminar classes de vulnerabilidade em seus produtos e política de divulgação de vulnerabilidade disponível publicamente, se uma for operada.
As organizações são incentivadas a revisar o Guia Secure by Demand e o Guia de aquisição de software e implementar as ações recomendadas.
Para saber mais, clique aqui.
