El software es un componente crítico de las misiones militares, pero durante demasiado tiempo, los procedimientos de cumplimiento de seguridad del Departamento de Defensa han impedido que las organizaciones entreguen capacidades de software relevantes a los combatientes.
Los requisitos de la misión y las amenazas cibernéticas cambian rápidamente. Mantenerse actualizado requiere prácticas de desarrollo ágiles que integren y entreguen continuamente software de alta calidad con riesgo reducido. Las autorizaciones de seguridad deberían ser igualmente ágiles, pero buscar repetidamente una Autoridad para Operar, o ATO, consume mucho tiempo. Esperar una ATO y realizar evaluaciones suele ser el paso más largo en la implementación de software. Estos retrasos pueden tener consecuencias importantes, especialmente en el campo de batalla.
Existen mejores formas de gestionar el riesgo de los sistemas de información. Los funcionarios del Departamento de Defensa publicaron recientemente el informe. Guía de implementación de autorización continua de DevSecOps, que traza los principios del modelo de Autoridad para Operar continua, o cATO. Después de que un sistema logra su autorización inicial, implementar adecuadamente cATO a la autorización continua es un paso fundamental en la visión del departamento de construir un entorno de desarrollo más rápido y seguro y lograr la supremacía del software.
¿Qué es cATO?
Para obtener una autorización tradicional es necesario realizar una comprobación puntual de los controles de seguridad que puede prolongarse durante meses. El ejercicio se repite cuando se implementan nuevas funciones o cuando vence la autorización. Mientras tanto, los ciberatacantes siguen desvelando nuevas amenazas.
cATO es una autorización permanente para la entrega continua después de lograr la autorización inicial. Permite a una organización crear y lanzar nuevas capacidades del sistema si puede monitorearlas continuamente en relación con los controles de seguridad aprobados. Para lograr cATO, el Departamento de Defensa identifica tres criterios que las organizaciones deben cumplir:
— Seguimiento continuo de los controles de seguridad.
— Medidas activas de ciberdefensa.
— La adopción de prácticas DevSecOps.
Pasar de revisiones periódicas a un monitoreo constante evita el incumplimiento y crea una postura de ciberseguridad más sólida. Esto no es sólo teoría; es un concepto probado. Como cofundador de Kessel Run de la Fuerza Aérea de EE. UU., originalmente diseñamos cATO como un enfoque específico para la autorización continua para la entrega continua, sin tomar atajos.
Aplicamos los principios de DecSecOps para cumplir con los requisitos del Instituto Nacional de Estándares y Tecnología. Marco de gestión de riesgoso requisitos RMF. En abril de 2018, los funcionarios del Departamento de Defensa aprobaron cATO para los sistemas de Kessel Run. La autorización en curso otorgó la autorización en el momento del lanzamiento y la eliminó como cuello de botella para el tiempo de entrega y la frecuencia de implementación. Las organizaciones DevOps de alto rendimiento que emplean este enfoque a menudo logran un tiempo de entrega y una frecuencia de implementación que se miden en horas, lo que se considera «élite» en El informe sobre el estado de DevOps.
Preparando equipos para la autorización continua
La CATO no es una exención ni un atajo para cumplir con el RMF. En cambio, el método aborda los requisitos en cada paso del ciclo de vida del desarrollo de software para reducir el riesgo. Cuando se hace correctamente, la adopción de esta estrategia de autorización continua todavía consiste en autorizar el sistema, no en «autorizar a las personas y el proceso» o emplear «canalizaciones cATO». Dicho esto, los insumos que dan como resultado resultados seguros y autorizados para un entorno confiable y transparente son las personas, los procesos y las tecnologías adecuados.
Para empezar, los líderes deben fomentar una cultura de concienciación sobre la seguridad en toda la organización eliminando las barreras burocráticas y contratando el talento técnico adecuado. Para desplazarnos hacia la izquierda en cualquier cosa, tenemos que dejarle espacio. Por ejemplo, eliminar el trabajo de bajo valor de los cronogramas de los desarrolladores o eliminar los trabajos pendientes les da tiempo para trabajar en la seguridad con sus tareas habituales.
Los programas deben contar con al menos un asesor técnico independiente y exclusivo para sus equipos, que trabaje para el asesor de controles de seguridad y el funcionario autorizador, para ayudar a que el software llegue a producción de manera más eficiente. Y como la seguridad no se desarrolla de manera aislada, es necesario crear líneas de comunicación abiertas entre los equipos de seguridad, desarrollo y operaciones para sincronizar los requisitos de la misión más recientes.
Construyendo una línea base de seguridad
Un componente técnico crítico de la autorización continua es maximizar la herencia de control común. RMF permite que las aplicaciones implementadas en entornos de plataforma y nube hereden los controles subyacentes. Organizaciones como fábricas de software o programas de nivel de servicio con miles de aplicaciones pueden ver rápidamente ahorros de tiempo y costos al diseñar arquitecturas para estos proveedores de controles comunes autorizados.
El Departamento de Defensa tiene la oportunidad de impulsar una mayor eficiencia al proporcionar líneas de base de seguridad centralizadas y heredables y servicios en la nube para uso de todo el departamento o, como mínimo, de toda la misión. Los controles comunes para toda la empresa mejorarían la postura cibernética de todo el departamento y permitirían una entrega más rápida de software para cada servicio y componente.
Construyendo un sistema transparente
Las implementaciones exitosas de caTO requieren que las organizaciones comprendan profundamente un sistema y los efectos en cascada de cualquier cambio en él. Las organizaciones deben centrarse en la transparencia y la trazabilidad, adoptando una mentalidad de todo como código para garantizar que los controles permanezcan dentro de las configuraciones aprobadas.
Los procesos requieren digitalización y, cuando sea posible, automatización, incluida la documentación y la evaluación de evidencias. Las plataformas de gobernanza, riesgo y cumplimiento más utilizadas no fueron diseñadas para autorizaciones continuas; es posible que los sistemas con la capacidad de manejar paquetes de evidencia modulares deban reemplazar las plataformas anticuadas. Brinde a los evaluadores técnicos independientes del equipo acceso a registros, repositorios de código y paneles para monitorear los controles y comunicar los cambios a los funcionarios autorizadores según sea necesario.
Un error común es pensar que los pipelines son una varita mágica para cATO. Si bien son una herramienta esencial, se requiere mucho más para la autorización continua. Una forma inteligente de usar pipelines es incorporar escaneos que evalúen el software en relación con los acuerdos de nivel de servicio y lo bloqueen del entorno de producción si persisten los problemas.
Al final del día, una organización que busca una autorización de acceso controlado debe producir un sistema seguro y ofrecer nuevas capacidades dentro de un perfil de riesgo aceptable. Las autorizaciones continuas son la forma más eficaz para que el Departamento de Defensa agilice la entrega de software y garantice un futuro en el que ocurran menos cosas malas debido a un software deficiente.
Bryan Kroger es el director ejecutivo y fundador de Rise8 y cofundador de Kessel Run de la Fuerza Aérea de EE. UU., la primera fábrica de software del Departamento de Defensa, donde fue pionero en cATO.