Fortinet, líder global de ciberseguridad que impulsa la convergencia de redes y seguridad, refuerza su compromiso con la transparencia responsable al ser uno de los primeros firmantes del compromiso Secure by Design desarrollado por la Cybersecurity and Infrastructure Security Agency (CISA). Este compromiso voluntario de la industria complementa y se basa en las mejores prácticas de seguridad de software de Fortinet, incluidas las desarrolladas por CISA, NIST, otras agencias federales y socios internacionales y del sector. El compromiso establece siete objetivos, incluidas las políticas de divulgación responsable de vulnerabilidades, que ya forman parte integral del desarrollo de la seguridad de los productos de Fortinet.
De acuerdo con Jim Richberg, jefe de Política Cibernética y CISO Global de Fortinet, "En Fortinet, tenemos un compromiso a largo plazo para ser un modelo a seguir en el desarrollo de productos éticos y responsables y en la divulgación de vulnerabilidades. Como parte de esta dedicación, Fortinet se ha alineado proactivamente con las mejores prácticas internacionales y de la industria y mantiene los más altos estándares de seguridad en cada aspecto de nuestro negocio. Aplaudimos el continuo llamamiento de CISA a la industria para que siga su ejemplo y apreciamos la voluntad de CISA de colaborar con Fortinet en el desarrollo de estos importantes objetivos. Animamos encarecidamente a otros miembros de la comunidad tecnológica a unirse a este esfuerzo para que las organizaciones se mantengan seguras”.
Los Principios de Seguridad desde el Diseño y los Procesos de Divulgación Responsable
La última iniciativa de CISA se alinea firmemente con los procesos existentes de desarrollo de productos de Fortinet, que ya se basan en los principios Secure by Design y Secure by Default. Fortinet se compromete a adherirse a un sólido escrutinio de la seguridad del producto en todas las etapas de su ciclo de vida de desarrollo, ayudando a garantizar que la seguridad está diseñada en cada producto desde el inicio hasta el final de su vida útil, de las siguientes formas:
- Ciclo de vida de desarrollo de productos seguros (SPDLC): Fortinet alinea sus procesos de acuerdo con los estándares líderes, incluyendo NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028, y UK Telecom Security Act.
- Pruebas sólidas de productos de seguridad: Fortinet aprovecha herramientas y técnicas como las pruebas estáticas de seguridad de aplicaciones (SAST) y el análisis de composición de software integrado en sus procesos de construcción, pruebas dinámicas de seguridad de aplicaciones (DAST), escaneo de vulnerabilidades y fuzzing antes de cada lanzamiento, así como pruebas de penetración y auditorías manuales de código.
- Programa de proveedores de confianza: para garantizar una rigurosa selección y cualificación de sus principales socios fabricantes, Fortinet se adhiere a NIST 800-161: Prácticas de gestión de riesgos de la cadena de suministro de ciberseguridad para sistemas y organizaciones. El compromiso de Fortinet con la privacidad y la seguridad de los datos está integrado en todas las áreas de negocio de la empresa y en todas las fases de los procesos de desarrollo, fabricación y entrega de productos.
- Programa de seguridad de la información: el Programa de Seguridad de la Información de Fortinet está basado y alineado con los estándares y marcos de seguridad líderes de la industria, incluyendo ISO 27001/2, ISO 27017 y 27018, y NIST 800-53, así como con las regulaciones de privacidad de datos como GDPR y CCPA.
- Certificaciones de terceros: los productos de Fortinet se certifican regularmente según el estándar y se validan a través de estándares de calidad de productos de terceros, incluidos NIST FIPS 140-2 y NIAP Common Criteria NDcPP / EAL4+.
Además, el Fortinet Product Security Incident Response Team (PSIRT) es responsable de mantener los estándares de seguridad de los productos Fortinet y opera uno de los programas PSIRT más robustos de la industria, incluyendo la divulgación proactiva y transparente de vulnerabilidades. Casi el 80% de las vulnerabilidades de Fortinet descubiertas en 2023 fueron identificadas internamente a través del riguroso proceso de auditoría de la compañía. Este enfoque proactivo permite desarrollar e implementar correcciones antes de que se produzca una explotación maliciosa. Fortinet trabaja con sus clientes, investigadores de seguridad independientes, consultores, organizaciones del sector y otros proveedores para llevar a cabo la misión PSIRT de la empresa.
Para avanzar aún más en su apuesta por una cultura de transparencia responsable, Fortinet mantiene desde hace tiempo un compromiso con las asociaciones públicas y privadas que se alinean con su misión, entre las que se incluyen:
- Como miembro fundador de la Network Resilience Coalition, Fortinet está ayudando a ofrecer soluciones del mundo real para proteger las redes y los datos confidenciales, incluyendo el abordaje del problema de las actualizaciones y parches de software y hardware que no se implementan.
- A través de su pertenencia a la Joint Cyber Defense Collaborative (JCDC), que fue establecida por CISA en 2021, Fortinet trabaja con entidades públicas y privadas para recopilar, analizar y compartir información procesable para proteger y defender de forma más proactiva contra las ciberamenazas.
- Como miembro fundador de la Cyber Threat Alliance (CTA), Fortinet comparte información oportuna sobre amenazas con otros profesionales de la ciberseguridad para proteger mejor a los clientes frente a los adversarios.
- Trabajando con líderes globales como miembro fundador del Centro para la Ciberseguridad (C4C) del Foro Económico Mundial, Fortinet está ayudando a fomentar el intercambio de inteligencia en toda la industria para reducir los ciberataques globales y desbaratar la ciberdelincuencia.
