top of page
CodeEye New Logo-Dark_2x.png

El blog de CodeEye

Tu centro de referencia para los recursos, actualizaciones y análisis de expertos más recientes sobre seguridad de aplicaciones. Un camino sencillo hacia aplicaciones más seguras comienza aquí.

NIST CSF 2.0: Una Nueva Era en Ciberseguridad y sus Implicaciones en la Seguridad de Aplicaciones

  • hace 4 horas
  • 4 min de lectura

El 26 de febrero de 2024, el Instituto Nacional de Estándares y Tecnología (NIST) publicó una actualización del Marco de Ciberseguridad (CSF), introduciendo varios cambios, incluidas implicaciones para la seguridad por diseño y el SDLC seguro.

La seguridad de aplicaciones se ha vuelto cada vez más importante en los últimos años debido al aumento de los ciberataques y las violaciones de datos. Los gobiernos tanto de Canadá como de Estados Unidos han reconocido la necesidad de un mayor escrutinio sobre la integridad de las aplicaciones y han introducido regulaciones y directrices para garantizar la seguridad de los datos sensibles.

En Estados Unidos, el Instituto Nacional de Estándares y Tecnología (NIST) publicó una actualización del Marco de Ciberseguridad (CSF) en 2024, introduciendo varios cambios, incluidas implicaciones para la seguridad por diseño y el SDLC seguro.

Uno de los cambios más significativos en NIST CSF 2.0 es la introducción de la categoría de Seguridad de Plataforma bajo la función "Proteger". Esta categoría hace referencia específicamente al desarrollo de software seguro, indicando que "las prácticas de desarrollo de software seguro están integradas y su desempeño es monitoreado a lo largo del ciclo de vida del desarrollo de software."

CodeEye lanzó IRIS en 2019 con la capacidad de consolidar la seguridad del código en una sola plataforma. Desde entonces, IRIS ha evolucionado hasta convertirse en una Solución ASPM de Nueva Generación.

¿Qué es IRIS ASPM?

Desde el código hasta la producción, IRIS detecta, correlaciona, proporciona análisis basado en riesgo y prioriza los hallazgos de seguridad de aplicaciones para una interpretación y remediación más sencillas — todo dentro de una sola plataforma.

IRIS tiene un Módulo de Riesgo y Cumplimiento integrado que proporciona monitoreo continuo del desempeño y riesgo del programa de desarrollo de producto, abordando los requisitos del PR.PS-06 del NIST CSF 2.0. Esto significa que las organizaciones pueden usar IRIS para garantizar que sus prácticas de desarrollo de software seguro estén integradas y monitoreadas a lo largo del ciclo de vida del desarrollo de software.

El módulo de Riesgo y Cumplimiento de IRIS apoya la implementación y mejora del Marco de Ciberseguridad (CSF) 2.0 del NIST a lo largo del ciclo de vida del desarrollo de software. Proporciona una visión integral del uso y los hallazgos de los diferentes módulos de escaneo que corresponden a las cinco funciones principales del CSF: Identificar, Proteger, Detectar, Responder y Recuperar. Ayuda a las partes interesadas a monitorear y comparar el desempeño, el riesgo y la salud de los proyectos y equipos de software, y apoya la toma de decisiones basada en datos y los esfuerzos de mitigación de riesgos.

El Panel R&M de IRIS se alinea con los requisitos del CSF 2.0 en las 5 funciones:

Identificar: El panel ayuda a identificar los activos, sistemas y datos involucrados en el proceso de desarrollo de software, y los posibles riesgos y vulnerabilidades que pueden afectarlos. Al visualizar el número de problemas encontrados, análisis ejecutados y hallazgos detectados en diferentes etapas del proyecto (por ejemplo, codificación, QA, Producción, virtualización Docker), el panel proporciona información sobre el nivel de riesgo general en cada etapa.

Proteger: El panel ayuda a proteger los activos, sistemas y datos de software habilitando el uso de diferentes módulos de escaneo que pueden detectar y prevenir brechas de seguridad, como análisis estático de código, análisis dinámico de código, pruebas de penetración y escaneo de vulnerabilidades. El panel permite un análisis comparativo del nivel de uso y efectividad de cada módulo de escaneo, ayudando a identificar cuáles se están utilizando de manera más efectiva y cuáles pueden necesitar mejoras.

Detectar: El panel ayuda a detectar la ocurrencia de eventos de ciberseguridad rastreando los problemas detectados y los análisis ejecutados por cada equipo de desarrollo. Esto ayuda a identificar posibles puntos débiles en las prácticas de seguridad de los equipos y a tomar decisiones informadas basadas en los resultados. El panel también facilita el descubrimiento y reporte oportuno de incidentes de seguridad mediante alertas y notificaciones.

Responder: El panel ayuda a responder a los incidentes de ciberseguridad proporcionando información accionable y orientación sobre cómo abordar y resolver los problemas. Facilita los esfuerzos de mitigación de riesgos al identificar áreas donde las vulnerabilidades de seguridad son más prevalentes, permitiendo a los equipos priorizar y abordar los problemas críticos. El panel también apoya la comunicación y coordinación entre las partes interesadas y los equipos durante el proceso de respuesta a incidentes.

Recuperar: El panel ayuda a recuperarse de los incidentes de ciberseguridad monitoreando y comparando los resultados a lo largo del tiempo y evaluando el impacto y la efectividad de las acciones de remediación. Ayuda a evaluar la salud general y la postura de seguridad de los proyectos de desarrollo de software e identifica áreas de mejora y lecciones aprendidas.

Con el NIST CSF 2.0 renovando el enfoque en el desarrollo de software seguro, el IRIS Next Gen ASPM de Riesgo de CodeEye proporciona una solución para que las organizaciones cumplan eficientemente con los requisitos del nuevo marco.

Para más información sobre el Módulo de Riesgo y Cumplimiento de CodeEye, contáctanos para una demo.

Acerca de CodeEye Solutions

CodeEye Solutions es un proveedor canadiense líder de servicios de vanguardia en Auditoría de Seguridad de Aplicaciones / Pruebas Ofensivas y Gestión de Postura de Aplicaciones, que empodera a las organizaciones para proteger sus activos digitales contra las ciberamenazas en constante evolución. Con una suite integral de soluciones, incluyendo IRIS, una Plataforma de Seguridad de Aplicaciones Gestionada todo en uno enfocada en madurar las necesidades del mercado de la pequeña y mediana empresa, ofrecemos una protección sin igual para empresas de alto crecimiento con recursos de seguridad limitados y equipos de desarrollo incansables.

CodeEye Solutions es el Proveedor de Registro del Gobierno de Ontario para Productos y Servicios de Seguridad de TI. Nuestra especialidad es la seguridad de aplicaciones, desde los cimientos hasta el producto, junto con orientación y soporte experto, para garantizar que nuestros clientes puedan detectar y mitigar riesgos de seguridad, mejorar la calidad del código, fomentar la colaboración entre equipos y asegurar el cumplimiento de los requisitos regulatorios. Para más información sobre CodeEye, visita www.codeeyesolutions.com.

bottom of page