Veracode logra un hito en el sector público con la autorización de FedRAMP |…

El panorama de la seguridad del software ha evolucionado drásticamente en los últimos años. Piense en el comienzo de COVID-19. El cambio repentino a las operaciones virtuales aceleró las transformaciones digitales. Las agencias gubernamentales ahora tienen que lanzar nuevos productos y servicios digitales en plazos más ajustados, lo que hace que los líderes del sector público elijan entre la velocidad de las implementaciones o un código seguro verificable. Los datos lo dicen todo… Según una investigación realizada por el Grupo de estrategia empresarial (ESG)el 85 % de las organizaciones llevan el código vulnerable a la producción y el 54 % lo hace para cumplir con los plazos críticos.

Esta necesidad de velocidad no solo está impulsando a las agencias gubernamentales y los contratistas a impulsar el código vulnerable a la producción, sino que está cambiando la forma en que se desarrollan las aplicaciones. La mayor dependencia de los microservicios y las bibliotecas de código abierto significa que las aplicaciones se ensamblan tanto como se escriben. Esto se hace evidente en la versión 12, nuestra más reciente, Estado de la seguridad del software (SOSS) informe por un aumento en el número de aplicaciones escaneadas, así como un giro a las aplicaciones de un solo idioma. El mismo informe también destaca que las organizaciones están escaneando más del triple de la cantidad de aplicaciones escaneadas por trimestre hace una década. Y durante los últimos cuatro años, las organizaciones redujeron el uso de aplicaciones con múltiples idiomas del 20 por ciento a menos del 5 por ciento.

El mismo informe State of Software Security observa un mayor uso de bibliotecas de código abierto, que se incorporan a 97 por ciento de las aplicaciones Java. Al aprovechar las bibliotecas de código abierto, los desarrolladores que respaldan cada misión en el gobierno pueden concentrarse en personalizar el código para diferenciar su software. Sin embargo, demasiados desarrolladores no analizan su código fuente abierto en busca de vulnerabilidades. Y aquellos que lo hacen se toman su tiempo para remediar las vulnerabilidades. Nuestro Estado de la seguridad del software: edición de código abierto El informe encontró que un asombroso 79 por ciento de los desarrolladores de software nunca actualizan las bibliotecas que están en el código base. Al no actualizar las bibliotecas de código abierto en su base de código, está dejando su software vulnerable a un ataque cibernético. Considere el reciente ataque de SolarWinds o la vulnerabilidad de Log4j. Ambos fueron el resultado de bibliotecas de código abierto explotadas.

El ataque SolarWinds, que afectó a decenas de miles de clientes, incluido el gobierno federal, provocó la Orden Ejecutiva para Mejorar la Ciberseguridad de la Nación. TLa Orden Ejecutiva describe los requisitos de seguridad para los proveedores que venden software al gobierno de EE. UU.

Para cumplir con los requisitos de la Orden Ejecutiva y otros mandatos recientes, las agencias federales deben trabajar para asegurar la cadena de suministro de software y adoptar una estrategia de seguridad de confianza cero: un modelo de seguridad que permite a las organizaciones restringir los controles de acceso a redes, aplicaciones y entornos. Además, estos controles de seguridad deben adoptarse sin afectar el rendimiento de las aplicaciones o la experiencia del usuario. El éxito significará que las agencias federales tendrán que desarrollar asociaciones público-privadas comprometidas con la colaboración, el intercambio de información y la seguridad de la cadena de suministro de software.

Mantenerse al día con las iniciativas de seguridad en la nube mientras cumple con los últimos mandatos y sigue siendo competitivo con la velocidad de las implementaciones de software puede parecer desalentador, pero ahí es donde las autorizaciones del Programa Federal de Administración de Riesgos y Autorizaciones (FedRAMP) pueden ayudar. FedRAMP sirve como la «estrella dorada» de los estándares de seguridad cibernética en el sector público. A medida que las agencias trasladan más funciones de TI a la nube, FedRAMP permite a los proveedores de servicios en la nube cumplir con requisitos de seguridad específicos, como los incluidos en la Ley Federal de Administración de Seguridad de la Información y las publicaciones del Instituto Nacional de Estándares y Tecnología (NIST). Esto permitirá que las agencias federales subcontraten con la confianza de que sus socios proveedores de la nube cumplen con esos requisitos.

Anuncio de FedRAMP con plena autoridad para operar

Veracode se enorgullece de anunciar que hemos recibido oficialmente la autorización de FedRAMP para apoyar a las agencias de todo el gobierno federal con una plataforma de seguridad basada en la nube para brindar una protección mejorada. La autorización de FedRAMP valida que cumplimos con los rigurosos requisitos del gobierno estándares de seguridad y evaluación de riesgos — y amplía las oportunidades para que las agencias gubernamentales encuentren y adopten servicios en la nube que cumplan con los requisitos.

Lo que esto significa para las agencias federales

Estamos orgullosos de decir que somos una plataforma de seguridad de software integral de propiedad estadounidense en el mercado FedRAMP. Con nuestra autorización FedRAMP, las agencias federales ahora pueden aprovechar una solución que brinda visibilidad del estado de la aplicación a través del análisis estático (SAST), análisis dinámico (DAST) y análisis de composición de software (SCA), en una vista centralizada. También hemos sido nombrados líderes por novena vez en las pruebas de seguridad de aplicaciones Gartner® Magic Quadrant™ 2022.

Con nuestra plataforma integral de seguridad de software, las agencias federales pueden abordar la seguridad de las aplicaciones en todas las etapas del ciclo de vida del desarrollo de software, lo que permite que los equipos de desarrollo y seguridad lleven la seguridad a las primeras etapas del proceso de desarrollo (también conocido como «desplazamiento a la izquierda»). Este es un componente clave para implementar principios de confianza cero en todo el ciclo de vida del desarrollo de software, lograr que las agencias cumplan con OMB, respaldar el Marco de desarrollo de software seguro (SSDF) de NIST y cumplir con la Orden ejecutiva de mayo de 2021 sobre la mejora de la ciberseguridad de la nación.

Cómo puede ayudar Veracode

FedRAMP es una firma en lo que respecta a los estándares de ciberseguridad del sector público. La mejor manera de garantizar el éxito de la misión, mientras se brinda la mejor experiencia al cliente y se mantiene el cumplimiento, es aprovechar una solución de plataforma completa que cuente con la aprobación de FedRAMP.

¿La solución? Cumpla con el cumplimiento de la confianza cero con la solución autorizada por FedRAMP más completa para la seguridad de las aplicaciones: Veracódigo.

Para ver el comunicado de prensa completo que anuncia la autorización FedRAMP de Veracode, haga clic en aquí.

GARTNER y Magic Quadrant son marcas comerciales registradas de Gartner, Inc. y/o sus filiales en los EE. UU. e internacionalmente y se utilizan aquí con autorización. Reservados todos los derechos. Gartner no respalda a ningún proveedor, producto o servicio descrito en sus publicaciones de investigación y no aconseja a los usuarios de tecnología que seleccionen solo a los proveedores con las calificaciones más altas u otra designación. Las publicaciones de investigación de Gartner consisten en las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hechos. Gartner renuncia a todas las garantías, expresas o implícitas, con respecto a esta investigación, incluidas las garantías de comerciabilidad o idoneidad para un propósito particular.

¿Que te ha parecido?

Deja un comentario