La Agencia Europea para la Ciberseguridad (ENISA) acaba de publicar un estudio sobre los enfoques existentes para el desarrollo y mantenimiento de programas informáticos seguros, destacando al mismo tiempo los aspectos que deben considerarse en el marco de la certificación de la seguridad cibernética de la Unión Europea.
El desarrollo y mantenimiento de programas informáticos seguros está atrayendo últimamente mucha atención, debido al rápido aumento de la dependencia de los productos, servicios y procesos cotidianos respecto de los programas informáticos subyacentes.
Muy a menudo, las debilidades que subyacen a los incidentes y/o infracciones de seguridad se materializan debido a la falta de adhesión a los principios y técnicas fundamentales de seguridad. A fin de promover mayores niveles de seguridad y mejorar la mitigación de las amenazas a la seguridad conocidas, el desarrollo y el mantenimiento de programas informáticos seguros se está sometiendo cada vez más a la evaluación y, en última instancia, a la certificación.
En el informe de la ENISA – Advancing Software Security in the EU se examinan algunos elementos clave de la seguridad de los programas informáticos y se ofrece un panorama general de los enfoques y normas existentes más pertinentes, al tiempo que se identifican las deficiencias relacionadas con el panorama del desarrollo de programas informáticos seguros. Por último, proporciona una serie de consideraciones prácticas pertinentes para los diferentes aspectos del desarrollo de software dentro del marco de certificación de la seguridad cibernética de la UE. Entre esas consideraciones figuran las siguientes:
- cuestiones relacionadas con el despliegue y mantenimiento de repositorios no sólo para las vulnerabilidades divulgadas públicamente, sino también para los aspectos de seguridad compartidos de los productos, servicios y procesos certificados;
- la coordinación de actividades entre los organismos europeos de normalización (ESOs) y los organismos de desarrollo de normas (SDOs);
- posibilidad de complementar los planes de certificación de la seguridad cibernética de la UE con directrices para el desarrollo, mantenimiento y funcionamiento de los programas informáticos;
- consideración de métodos ligeros de evaluación de la conformidad para el nivel básico de garantía como respuesta al actual panorama fragmentado de desarrollo y mantenimiento de programas informáticos;
- posibilidades de aprovechar la experiencia y los conocimientos especializados existentes y promover la adopción de los planes de certificación de la seguridad cibernética de la UE
El estudio se llevó a cabo como parte de las actividades preparatorias y de apoyo del Organismo en la esfera de la certificación de productos, servicios y procesos. Se prevé utilizarlo como documento de referencia que complemente iniciativas similares en curso en el plano nacional, durante la elaboración de los posibles planes de certificación de la seguridad cibernética y como documento de orientación no vinculante para los interesados en el marco de certificación de la seguridad cibernética de la Unión Europea.