Los desarrolladores de software y fabricantes de todo el mundo están siendo atacados por ciberdelincuentes. No es que estemos en una época del año en la que cundan más y se atrincheren, frente a las oficinas, con sus portátiles malignos buscando hacer saltar todo por los aires, no. Siempre están ahí en realidad, intentando vulnerar la seguridad de la información, y en este artículo vamos a daros un poco de asesoramiento sobre el tema. 

Nadie está a salvo de todas las amenazas

Ya sea un ataque de medio pelo o sofisticado y destructivo (Como les pasó a nuestros competidores de Solarwinds y Kaseya) el mal nunca descansa. Toda la industria se enfrenta a un panorama de amenazas cada vez más exasperante. Casi siempre amanecemos con alguna noticia de un ciberataque imprevisto que trae consigo la consecuente ola de actualizaciones urgentes y necesarias para que nuestro sistema se encuentre a salvo…. No se salva nadie, han caído verdaderos gigantes. La complejidad del ecosistema actual de software hace que la vulnerabilidad en una pequeña librería afecte a cientos de aplicaciones. Sucedió en el pasado (openssh, openssl, zlib, glibc…) y seguirá sucediendo.

Como hemos apuntado, estos ataques pueden ser muy sofisticados o pueden ser fruto de una combinación de debilidades de terceras partes que hacen vulnerable al cliente, no por el software, pero sí por alguno de los componentes de su entorno. Por eso los profesionales de TI deberían exigir a sus proveedores de software que se tomen en serio la seguridad, tanto desde el punto de vista de ingeniería como desde la gestión de las vulnerabilidades.

Repetimos: Nadie está a salvo de todas las amenazas. El proveedor de software que ayer le quitó el negocio a otros puede ser muy probablemente la nueva víctima de mañana. Sí, el otro día fue Kaseya, mañana podemos ser nosotros. Da igual lo que hagamos, no existe la seguridad 100%, nadie puede prometerla. La cuestión no es evitar que suceda algo malo, la cuestión es cómo se gestiona esa situación y se sale de ella.

Pandora FMS y el Sgsi Iso 27001

Cualquier proveedor de software puede ser atacado y que cada proveedor debe tomar las medidas necesarias adicionales para protegerse a sí mismo y a sus usuarios. Pandora FMS  anima a nuestros clientes, actuales y futuros, a pedir a sus proveedores mayor consideración en este tema. Nos incluimos.

Pandora FMS siempre se ha tomado muy en serio la seguridad, tanto es así que desde hace años disponemos de una política pública de “Vulnerability disclosure policy” y Artica PFMS como empresa, está certificada en la ISO 27001. Periódicamente pasamos herramientas de auditorías de código y mantenemos localmente algunas versiones modificadas de librerías comunes.

En 2021, en vista de la demanda en el tema de la seguridad, decidimos dar un paso más, y hacernos CNA de CVE para dar una respuesta mucho más directa a las vulnerabilidades de software reportadas por auditores independientes.

Decálogo de PFMS para una mejor seguridad de la información

Cuando un cliente nos pregunta si Pandora FMS es segura a veces le recordamos toda esta información, pero no basta. Por ello, hoy queremos ir más allá y elaborar un decálogo de preguntas reveladoras sobre el tema, sí, porque algunos desarrolladores de software se toman un poco más en serio la seguridad que otros. Tranquilos, estas cuestiones y sus correspondientes respuestas valen tanto para Microsoft como para Paco Software. Ya que la seguridad no distingue entre grandes, pequeños, tímidos o expertos del marketing.

¿Hay un espacio específico para la seguridad dentro de su ciclo de vida de software?

En Pandora FMS tenemos una filosofía AGILE con sprints (releases) cada cuatro semanas, y disponemos de una categoría específica para tickets de seguridad. Estos tienen una prioridad diferente, un ciclo de validación (Q/A) diferente y por supuesto, una gestión totalmente diferente, ya que implican a actores externos en algunos casos (CVE mediante).

¿Su sistema de CICD y versionado de código está ubicado en un entorno seguro y dispone de medidas específicas de seguridad para asegurarlo?

Utilizamos Gitlab internamente, en un servidor en nuestras oficinas físicas de Madrid. A él tienen acceso personas con nombre y apellidos, y usuario y password único. Da igual en qué país estén, su acceso a través de VPN está controlado de manera individual y a este servidor no se puede acceder de otra manera. Nuestra oficina está protegida por un sistema de acceso biométrico y la sala de servidores con una llave que solo tienen dos personas.

¿La empresa desarrolladora dispone de un SGSI? (Sistema de Gestión de Incidencias de Seguridad?)

Artica PFMS; la empresa detrás de Pandora FMS está certificada con la ISO 27001 casi desde sus orígenes. Nuestra primera certificación fue en el año 2009. La ISO 27001 certifica que existe un SGSI como tal en la organización.

¿La empresa desarrolladora dispone de un plan de contingencia?

No solo disponemos de uno, si que lo hemos tenido que usar varias veces. Con el COVID pasamos de trabajar 40 personas en una oficina de Gran vía (Madrid) a trabajar cada uno en su casa. Hemos tenido caídas de suministro eléctrico (durante semanas), incendio de servidores y otras muchas incidencias que nos han puesto a prueba.

¿La empresa desarrolladora dispone de un plan de comunicación ante incidencias de seguridad que incluya a sus clientes?

No ha ocurrido en muchas ocasiones, pero hemos tenido que sacar algun parche de seguridad urgente, y hemos notificado a nuestros clientes, en tiempo y en forma.

¿Existe una trazabilidad atómica y nominal sobre los cambios en el código?

Lo bueno de los repositorios de código, como GIT, es que este tipo de cuestiones llevan resueltas mucho tiempo. Es imposible desarrollar software de manera profesional hoy día si herramientas como GIT no están totalmente integradas en la organización, y no solo al equipo de desarrollo, sino también el equipo de Q/A, soporte, ingeniería…

¿Dispone de un sistema fiable de distribución de actualizaciones con firmas digitales?

Nuestro sistema de actualización (Update Manager) distribuye paquetes con firma digital. Es un sistema privado, debidamente securizado y con tecnología propia.  

¿Tiene una política abierta de divulgación de vulnerabilidades pública?

En nuestro caso, está publicada en nuestra web.

¿Tiene una política de Código Abierto que permita al cliente observar y auditar el código de la aplicación en caso de necesidad?

Nuestro código es abierto, cualquier persona lo puede revisar en https://github.com/pandorafms/pandorafms. Además, algunos de nuestros clientes nos piden poder auditar el código fuente de la versión enterprise y nosotros estamos encantados de poder hacerlo.

¿Los componentes / adquisiciones de terceras partes cumplen los mismos estándares del resto de partes de la aplicación?

Sí lo hacen y cuando no lo cumplen los mantenemos nosotros.

BONUS TRACK:

¿Dispone la empresa de alguna certificación ISO de Calidad?

ISO 27001 

¿Dispone la empresa de alguna certificación específica de seguridad?

Esquema Nacional de Seguridad, nivel básico.

Conclusión

Pandora FMS está preparado y armado para ¡TODO! Es broma, como hemos dicho, todos en este sector somos vulnerables, y claro que las preguntas de este decálogo están elaboradas con un cierta astucia, después de todo teníamos sólidas y veraces respuestas preparadas  de antemano para ellas, sin embargo, la verdadera cuestión es ¿Tienen todos los proveedores de software respuesta?


Si tienes que monitorizar más de 100 dispositivos también puedes disfrutar de un TRIAL GRATUITO de 30 días de Pandora FMS Enterprise. Instalación en Cloud u On-Premise, ¡¡tú eliges!!

Por último, recuerda que si cuentas con un número reducido de dispositivos para monitorizar puedes utilizar la versión OpenSource de Pandora FMS. Encuentra más información aquí.

No dudes en enviar tus consultas.¡El equipazo que se encuentra detrás de Pandora FMS estará encantado de atenderte!

Shares