Ciclo de vida seguro de los productos (SPLC) de Adobe
El ciclo de vida seguro de los productos (SPLC) de Adobe constituye la base de la seguridad de Adobe y se integra en numerosas fases del ciclo de vida de los productos, desde el diseño y el desarrollo hasta el control de calidad, las pruebas y la implementación. El SPLC de Adobe (un conjunto riguroso de varios cientos de actividades de seguridad específicas que abarcan herramientas, procesos y prácticas de desarrollo de software) define procesos claros y repetibles para ayudar a nuestros equipos de desarrollo a integrar la seguridad en nuestros productos y servicios, así como a evolucionar continuamente para incorporar las prácticas recomendadas más recientes del sector. Los equipos de investigación de seguridad de Adobe proporcionan directrices integrales de SPLC para nuestros productos y servicios basándose en una evaluación de posibles problemas de seguridad. Complementado por un compromiso continuo con la comunidad, el SPLC de Adobe evoluciona para mantenerse actualizado a medida que se producen cambios en la tecnología, las prácticas de seguridad y el panorama de amenazas.
El SPLC de Adobe se organiza en cuatro ámbitos principales que reflejan el ciclo de vida completo de diseño, desarrollo, implementación y funcionamiento continuo de los productos y servicios de Adobe. Entre los controles del SPLC se incluyen hojas de ruta de servicios, herramientas de seguridad y métodos de prueba que guían al equipo de seguridad para hacer frente a los 10 riesgos de seguridad de aplicaciones más graves del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) y a los 25 errores de software más peligrosos de CWE/SANS.
Diseño seguro
La metodología “seguridad por diseño” de Adobe garantiza que los requisitos de seguridad se definan lo antes posible en el proceso de desarrollo de aplicaciones. Nuestros equipos de seguridad y desarrollo adoptan un enfoque “shift-left” para el diseño seguro, donde se da prioridad a la corrección temprana de errores para integrar controles de seguridad y reducir el posible coste que conlleva introducir los cambios más adelante. Encontrarás más información en nuestro documento técnico sobre el resumen de seguridad de las aplicaciones.
Desarrollo seguro
Durante el ciclo de desarrollo, Adobe utiliza herramientas automatizadas para que las aplicaciones cumplan con nuestros controles y políticas de seguridad definidos. De este modo, se garantiza la seguridad durante todo el ciclo de vida de desarrollo de software. También permite que la seguridad del producto se amplíe mejor en toda la empresa y proporcione una cobertura de seguridad continua para seguir el ritmo a la innovación. Encontrarás más información en nuestro documento técnico sobre el resumen de seguridad de las aplicaciones.
Operaciones seguras
Puesto que la presencia en la nube incluye nubes públicas y privadas de diferentes proveedores, nuestra estrategia requiere la aplicación de mecanismos de seguridad operativos, uniformes y repetibles que estén fácilmente disponibles para nuestros equipos de productos y servicios. Además, el Centro de defensa cibernética y los equipos de respuesta ante incidentes en la seguridad de productos (PSIRT) de Adobe ayudan a supervisar y gestionar las amenazas de seguridad continuas y desarrollan y mantienen sólidos programas de inteligencia sobre amenazas. También ayudan a garantizar que cualquier incidente notificado con nuestras soluciones se resuelva según los estándares y políticas definidos. Puedes encontrar más información en nuestro documento técnico sobre el resumen de seguridad de las operaciones y en nuestro documento técnico sobre respuesta ante incidentes.
Formación y certificación continuas
Adobe ha implantado una cultura de seguridad que abarca prácticamente todos los aspectos de la empresa, empezando por actividades y formación periódicas de concienciación sobre seguridad para toda la plantilla. El personal de ingeniería y operaciones recibe formación y certificaciones de seguridad adicionales específicas para su puesto de trabajo o función, lo que le ayuda a estar al tanto de las novedades y a adaptarse a cualquier riesgo que pueda surgir. Adobe también busca oportunidades para colaborar con otras empresas en las prácticas recomendadas y estrategias para definir y lograr una cultura de seguridad robusta.