Fortinet anunció que con base en el compromiso de larga data de la empresa con la transparencia responsable y total es uno de los primeros en firmar el compromiso de Secure by Design, desarrollado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Este compromiso voluntario de la industria complementa y se basa en las mejores prácticas de seguridad de software de Fortinet existentes, incluidas las desarrolladas por CISA, NIST, otras agencias federales y socios internacionales y de la industria. El compromiso describe siete objetivos, incluidas las políticas responsables de divulgación de vulnerabilidades, que ya son una parte integral del desarrollo de productos de seguridad de Fortinet.
“En Fortinet, tenemos un compromiso de larga data de ser un modelo a seguir en el desarrollo de productos de manera ética y responsable, y en la divulgación de vulnerabilidades. Como parte de esta dedicación, Fortinet se ha alineado proactivamente con las mejores prácticas internacionales y de la industria y mantiene los más altos estándares de seguridad en cada aspecto de nuestro negocio. Aplaudimos la continua llamada de CISA a la industria para seguir el ejemplo y apreciamos la voluntad de CISA de colaborar con Fortinet en el desarrollo de estos importantes objetivos. Recomendamos firmemente a otros miembros de la comunidad tecnológica que se unan a esta iniciativa para mantener seguras a las organizaciones”, dijo Jim Richberg, jefe de Políticas Cibernéticas y Field CISO global en Fortinet.
La iniciativa más reciente de CISA se alinea firmemente con los procesos de desarrollo de productos existentes en Fortinet, ya basados en los principios de Secure by Design y Secure by Default. Fortinet se compromete a adherirse a un sólido escrutinio de seguridad de productos en todas las etapas del ciclo de vida del desarrollo de productos, ayudando a garantizar que la seguridad esté planeada en cada producto desde el inicio hasta el final de la vida útil, de las siguientes maneras:
- Ciclo de vida seguro del desarrollo de productos (SPDLC): Fortinet alinea sus procesos de acuerdo con los estándares líderes, incluidos NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 y la Ley de Seguridad de Telecomunicaciones del Reino Unido.
- Pruebas sólidas de productos de seguridad: Fortinet aprovecha herramientas y técnicas como las pruebas de seguridad de aplicaciones estáticas (SAST) y el análisis de composición de software incorporados en sus procesos de creación, pruebas dinámicas de seguridad de aplicaciones (DAST), escaneo de vulnerabilidades y fuzzing antes de cada lanzamiento, así como pruebas de penetración y auditorías manuales de código.
- Programa de proveedores de confianza: Para garantizar la rigurosa selección y calificación de sus principales socios fabricantes, Fortinet se adhiere a NIST 800-161: Prácticas de ciberseguridad para la gestión de riesgo en la cadena de suministro en sistemas y organizaciones. El compromiso de Fortinet con la privacidad y seguridad de los datos está integrado en cada parte del negocio de la empresa y en cada fase de los procesos de desarrollo, fabricación y entrega de productos.
- Programa de seguridad de la información: El programa de seguridad de la información de Fortinet se basa y se alinea con los estándares y marcos de seguridad líderes en la industria, que incluyen ISO 27001/2, ISO 27017 y 27018, y NIST 800-53, así como regulaciones de privacidad de datos como GDPR y CCPA.
- Certificaciones de terceros: Los productos de Fortinet se certifican regularmente según el estándar y se validan a través de estándares de calidad de productos de terceros, incluidos NIST FIPS 140-2 y NIAP Common Criteria NDcPP/EAL4+.
Además, el equipo de respuesta a incidentes de seguridad de productos de Fortinet (PSIRT) es responsable de mantener los estándares de seguridad para los productos de Fortinet y opera uno de los programas PSIRT más sólidos de la industria, incluida la divulgación proactiva y transparente de vulnerabilidades. Casi el 80% de las vulnerabilidades de Fortinet descubiertas en 2023 se identificaron internamente a través del riguroso proceso de auditoría de la empresa. Este enfoque proactivo permite desarrollar e implementar correcciones antes de que pueda ocurrir una vulnerabilidad de seguridad maliciosa. Fortinet trabaja con sus clientes, investigadores de seguridad independientes, consultores, organizaciones de la industria y otros proveedores para cumplir la misión PSIRT de la empresa.
Para promover aún más su dedicación a una cultura de transparencia responsable y total, Fortinet tiene un compromiso de larga data con las asociaciones públicas y privadas que se alinean con su misión, que incluye:
- Como miembro fundador de la Network Resilience Coalition, Fortinet ayuda a ofrecer soluciones del mundo real para proteger redes y datos sensibles, lo que incluye abordar el problema de las actualizaciones y parches de software y hardware que no se implementan.
- A través de su membresía en Joint Cyber Defense Collaborative (JCDC), que fue establecida por CISA en 2021, Fortinet trabaja con entidades públicas y privadas para recopilar, analizar y compartir información procesable para proteger y defenderse de manera más proactiva contra las ciberamenazas.
- Como miembro fundador de la Cyber Threat Alliance (CTA), Fortinet comparte inteligencia de amenazas oportuna con otros profesionales de ciberseguridad para proteger mejor a los clientes contra los adversarios.
- Al trabajar con líderes globales como miembro fundador del Centro de Ciberseguridad (C4C) del Foro Económico Mundial, Fortinet ayuda a fomentar el intercambio de inteligencia en toda la industria para reducir los ciberataques globales e interrumpir el cibercrimen.
“Una y otra vez, en múltiples sectores, hemos aprendido que la transparencia mejora los resultados para los consumidores y la sociedad. La industria de la ciberseguridad no es diferente. En nuestro sector, la transparencia incluye buscar, mitigar y divulgar vulnerabilidades de manera abierta y responsable. Fortinet ya ha tomado medidas para adoptar esta transparencia responsable, creando un conjunto claro de principios para manejar la comunicación y el análisis de vulnerabilidades. El liderazgo de la empresa en esta área es un ejemplo sólido de cómo los proveedores de ciberseguridad deben comunicarse con los clientes y el público en general”, dijo Michael Daniels, presidente y director ejecutivo de la Cyber Threat Alliance (CTA).
