Los desarrolladores de software y fabricantes de todo el mundo están siendo atacados por ciberdelincuentes. No es que estemos en una época del año en la que cundan más y se atrincheren, frente a las oficinas, con sus portátiles malignos buscando hacer saltar todo por los aires, no. Siempre están ahí en realidad, intentando vulnerar la seguridad de la información, y en este artículo vamos a daros un poco de asesoramiento sobre el tema.
Nadie está a salvo de todas las amenazas
Ya sea un ataque de medio pelo o sofisticado y destructivo (Como les pasó a nuestros competidores de Solarwinds y Kaseya) el mal nunca descansa. Toda la industria se enfrenta a un panorama de amenazas cada vez más exasperante. Casi siempre amanecemos con alguna noticia de un ciberataque imprevisto que trae consigo la consecuente ola de actualizaciones urgentes y necesarias para que nuestro sistema se encuentre a salvo…. No se salva nadie, han caído verdaderos gigantes. La complejidad del ecosistema actual de software hace que la vulnerabilidad en una pequeña librería afecte a cientos de aplicaciones. Sucedió en el pasado (openssh, openssl, zlib, glibc…) y seguirá sucediendo.
Como hemos apuntado, estos ataques pueden ser muy sofisticados o pueden ser fruto de una combinación de debilidades de terceras partes que hacen vulnerable al cliente, no por el software, pero sí por alguno de los componentes de su entorno. Por eso los profesionales de TI deberían exigir a sus proveedores de software que se tomen en serio la seguridad, tanto desde el punto de vista de ingeniería como desde la gestión de las vulnerabilidades.
Repetimos: Nadie está a salvo de todas las amenazas. El proveedor de software que ayer le quitó el negocio a otros puede ser muy probablemente la nueva víctima de mañana. Sí, el otro día fue Kaseya, mañana podemos ser nosotros. Da igual lo que hagamos, no existe la seguridad 100%, nadie puede prometerla. La cuestión no es evitar que suceda algo malo, la cuestión es cómo se gestiona esa situación y se sale de ella.
Pandora FMS y el Sgsi Iso 27001
Cualquier proveedor de software puede ser atacado y que cada proveedor debe tomar las medidas necesarias adicionales para protegerse a sí mismo y a sus usuarios. Pandora FMS anima a nuestros clientes, actuales y futuros, a pedir a sus proveedores mayor consideración en este tema. Nos incluimos.
Pandora FMS siempre se ha tomado muy en serio la seguridad, tanto es así que desde hace años disponemos de una política pública de “Vulnerability disclosure policy” y Artica PFMS como empresa, está certificada en la ISO 27001. Periódicamente pasamos herramientas de auditorías de código y mantenemos localmente algunas versiones modificadas de librerías comunes.
En 2021, en vista de la demanda en el tema de la seguridad, decidimos dar un paso más, y hacernos CNA de CVE para dar una respuesta mucho más directa a las vulnerabilidades de software reportadas por auditores independientes.
Decálogo de PFMS para una mejor seguridad de la información
Cuando un cliente nos pregunta si Pandora FMS es segura a veces le recordamos toda esta información, pero no basta. Por ello, hoy queremos ir más allá y elaborar un decálogo de preguntas reveladoras sobre el tema, sí, porque algunos desarrolladores de software se toman un poco más en serio la seguridad que otros. Tranquilos, estas cuestiones y sus correspondientes respuestas valen tanto para Microsoft como para Paco Software. Ya que la seguridad no distingue entre grandes, pequeños, tímidos o expertos del marketing.
¿Hay un espacio específico para la seguridad dentro de su ciclo de vida de software?
En Pandora FMS tenemos una filosofía AGILE con sprints (releases) cada cuatro semanas, y disponemos de una categoría específica para tickets de seguridad. Estos tienen una prioridad diferente, un ciclo de validación (Q/A) diferente y por supuesto, una gestión totalmente diferente, ya que implican a actores externos en algunos casos (CVE mediante).
¿Su sistema de CICD y versionado de código está ubicado en un entorno seguro y dispone de medidas específicas de seguridad para asegurarlo?
Utilizamos Gitlab internamente, en un servidor en nuestras oficinas físicas de Madrid. A él tienen acceso personas con nombre y apellidos, y usuario y password único. Da igual en qué país estén, su acceso a través de VPN está controlado de manera individual y a este servidor no se puede acceder de otra manera. Nuestra oficina está protegida por un sistema de acceso biométrico y la sala de servidores con una llave que solo tienen dos personas.
¿La empresa desarrolladora dispone de un SGSI? (Sistema de Gestión de Incidencias de Seguridad?)
Artica PFMS; la empresa detrás de Pandora FMS está certificada con la ISO 27001 casi desde sus orígenes. Nuestra primera certificación fue en el año 2009. La ISO 27001 certifica que existe un SGSI como tal en la organización.
¿La empresa desarrolladora dispone de un plan de contingencia?
No solo disponemos de uno, si que lo hemos tenido que usar varias veces. Con el COVID pasamos de trabajar 40 personas en una oficina de Gran vía (Madrid) a trabajar cada uno en su casa. Hemos tenido caídas de suministro eléctrico (durante semanas), incendio de servidores y otras muchas incidencias que nos han puesto a prueba.
¿La empresa desarrolladora dispone de un plan de comunicación ante incidencias de seguridad que incluya a sus clientes?
No ha ocurrido en muchas ocasiones, pero hemos tenido que sacar algun parche de seguridad urgente, y hemos notificado a nuestros clientes, en tiempo y en forma.
¿Existe una trazabilidad atómica y nominal sobre los cambios en el código?
Lo bueno de los repositorios de código, como GIT, es que este tipo de cuestiones llevan resueltas mucho tiempo. Es imposible desarrollar software de manera profesional hoy día si herramientas como GIT no están totalmente integradas en la organización, y no solo al equipo de desarrollo, sino también el equipo de Q/A, soporte, ingeniería…
¿Dispone de un sistema fiable de distribución de actualizaciones con firmas digitales?
Nuestro sistema de actualización (Update Manager) distribuye paquetes con firma digital. Es un sistema privado, debidamente securizado y con tecnología propia.
¿Tiene una política abierta de divulgación de vulnerabilidades pública?
En nuestro caso, está publicada en nuestra web.
¿Tiene una política de Código Abierto que permita al cliente observar y auditar el código de la aplicación en caso de necesidad?
Nuestro código es abierto, cualquier persona lo puede revisar en https://github.com/pandorafms/pandorafms. Además, algunos de nuestros clientes nos piden poder auditar el código fuente de la versión enterprise y nosotros estamos encantados de poder hacerlo.
¿Los componentes / adquisiciones de terceras partes cumplen los mismos estándares del resto de partes de la aplicación?
Sí lo hacen y cuando no lo cumplen los mantenemos nosotros.
BONUS TRACK:
¿Dispone la empresa de alguna certificación ISO de Calidad?
ISO 27001
¿Dispone la empresa de alguna certificación específica de seguridad?
Esquema Nacional de Seguridad, nivel básico.
Conclusión
Pandora FMS está preparado y armado para ¡TODO! Es broma, como hemos dicho, todos en este sector somos vulnerables, y claro que las preguntas de este decálogo están elaboradas con un cierta astucia, después de todo teníamos sólidas y veraces respuestas preparadas de antemano para ellas, sin embargo, la verdadera cuestión es ¿Tienen todos los proveedores de software respuesta?
¿Quieres conocer mejor qué es lo que Pandora FMS puede ofrecerte? Descúbrelo entrando aquí. Si tienes que monitorizar más de 100 dispositivos también puedes disfrutar de un TRIAL GRATUITO de 30 días de Pandora FMS Enterprise. Instalación en Cloud u On-Premise, ¡¡tú eliges!! Consíguelo aquí.
Por último, recuerda que si cuentas con un número reducido de dispositivos para monitorizar puedes utilizar la versión OpenSource de Pandora FMS. Encuentra más información aquí.
No dudes en enviar tus consultas. ¡El equipazo que se encuentra detrás de Pandora FMS estará encantado de atenderte!Y si quieres seguir el ritmo de todas nuestras novedades y te va el rollo IT, release y, por supuesto, monitorización, te esperamos en este nuestro blog y en nuestras distintas redes sociales, desde Linkedin a Twitter pasando por el inolvidable Facebook. Hasta canal de Youtube tenemos, y con mejores narradores que El Rubius y AuronPlay. Ah, bueno, ¡también estrenamos canal de Instagram! Seguid a la cuenta, que aún nos queda mucho para igualar a la de Billie Eilish.
Dimas P.L., de la lejana y exótica Vega Baja, CasiMurcia, periodista, redactor, taumaturgo del contenido y campeón de espantar palomas en los parques. Actualmente resido en Madrid donde trabajo como paladín de la comunicación en Pandora FMS y periodista freelance cultural en cualquier medio que se ofrezca. También me vuelvo loco escribiendo y recitando por los círculos poéticos más profundos y oscuros de la ciudad.
Dimas P.L., from the distant and exotic Vega Baja, CasiMurcia, journalist, editor, thaumaturgist of content and champion of scaring pigeons in parks. I currently live in Madrid where I work as a communication champion in Pandora FMS and as a freelance cultural journalist in any media offered. I also go crazy writing and reciting in the deepest and darkest poetic circles of the city.