Guillem Alsina Gonzàlez
La Agencia de la Unión Europea para la Ciberseguridad (ENISA por sus siglas en inglés) ha elaborado un manual de seguridad por diseño y por defecto orientado a las pequeñas y medianas empresas, un documento que se encuentra actualmente en fase de borrador para consulta pública, y que tiene como objetivo facilitar la integración de medidas de protección desde las fases iniciales del desarrollo de un producto tecnológico.
Dicha publicación ha sido concebida teniendo en cuenta las limitaciones habituales de las organizaciones de pequeño tamaño, las cuales suelen enfrentarse a presupuestos ajustados, plazos exigentes y una falta de personal técnico altamente especializado en la materia.
Este documento proporciona soluciones prácticas aplicables durante todo el ciclo de vida del producto tecnológico, desde su concepción hasta su retirada, en vez de centrarse exclusivamente en abstracciones teóricas, estructura las actividades de gestión de riesgos y modelado de amenazas como pasos fundamentales para identificar activos, definir límites de confianza y establecer mitigaciones antes de iniciar la programación. Este enfoque continuo abarca la definición de los requisitos, la arquitectura, el desarrollo, las pruebas, el despliegue, el mantenimiento y la eliminación segura de los sistemas informáticos.
La guía diferencia la seguridad por diseño, centrada en la arquitectura y el mantenimiento del sistema, de la seguridad por defecto, que garantiza una configuración inicial restrictiva. Por un lado, la seguridad por diseño se divide en los cimientos arquitectónicos, que dictan cómo fluyen los datos y cómo interactúan los componentes para dificultar un ataque, y en la integridad operativa, que abarca los procedimientos humanos y técnicos para mantener el sistema protegido.
Por otro lado, la seguridad por defecto busca que el producto se entregue al usuario final con los ajustes más seguros activados automáticamente. Esta vertiente se subdivide, a su vez, en el endurecimiento por defecto, que elimina funciones innecesarias, y la protección guiada, que asiste al usuario para evitar configuraciones erróneas durante el uso diario.
El texto publicado por ENISA incluye veintidós guías de acción específicas y vincula estas prácticas con los requisitos de la Ley de Ciberresiliencia europea. Para trasladar estos conceptos teóricos a la ingeniería, la agencia ha redactado una serie de documentos operativos o tácticos que detallan el objetivo de cada principio de seguridad, las acciones concretas a realizar y las evidencias mínimas necesarias para demostrar su cumplimiento en los procesos de revisión.
La adopción sistemática de estas metodologías sirve como base técnica para que las organizaciones puedan navegar por las exigencias de la futura legislación comunitaria, ya que incorporan una correspondencia directa entre los principios propuestos y los requisitos esenciales de ciberseguridad exigidos por dicha ley.
Finalmente, el documento propone el uso de declaraciones de seguridad legibles a través de sistemas informáticos para automatizar las auditorías y garantizar el cumplimiento normativo en la cadena de suministro. La guía profundiza en la modernización de la documentación técnica mediante el uso de formatos estructurados que permiten a los sistemas informáticos verificar automáticamente si un producto cumple con los controles de seguridad establecidos.
Esta capacidad, ejemplificada mediante un modelo de manifiesto de seguridad, resulta especialmente valiosa para los equipos de desarrollo reducidos, ya que disminuye la necesidad de realizar revisiones manuales constantes, asegura que las propiedades de protección se mantengan actualizadas de forma transparente, y facilita la evaluación de riesgos frente a componentes de terceros.
A partir de ahora y hasta el próximo 15 de mayo, la Unión Europea mantiene abierto un proceso de consulta pública en la que los responsables de PYMEs están llamados a dar su opinión sobre el borrador. Con sus aportaciones, este puede ser modificado para adaptarlo a los requisitos de las pequeñas y medianas empresas de la Unión.
