Fortinet ha rafforzato il proprio impegno di lunga data verso una trasparenza radicale e responsabile, essendo tra i primi firmatari delle linee guida Secure by Design sviluppate dalla Cybersecurity and Infrastructure Security Agency (CISA). Questo atto volontario integra e si basa sulle best practice esistenti per la sicurezza del software Fortinet, comprese quelle sviluppate dalla CISA, dal NIST, da altre agenzie federali e da partner internazionali e del settore. Le linee guida delineano sette obiettivi, tra i quali rientrano anche le politiche di Responsible Disclosure delle vulnerabilità, che sono già parte integrante dello sviluppo dei prodotti di sicurezza di Fortinet.
“In Fortinet ci impegniamo da tempo per essere un modello nello sviluppo etico e responsabile dei prodotti e nella divulgazione delle vulnerabilità. Nell’ambito di questo impegno, Fortinet si è allineata in modo proattivo alle best practice internazionali e di settore e sostiene i più alti standard di sicurezza in ogni aspetto della propria attività. Plaudiamo l’invito costante che CISA rivolge al settore affinché segua questo esempio e apprezziamo la volontà di collaborare con Fortinet allo sviluppo di questi importanti obiettivi. Incoraggiamo caldamente gli altri membri della comunità tecnologica a unirsi nello sforzo di mantenere le organizzazioni sicure”, ha dichiarato Jim Richberg, Head of Cyber Policy and Global Field CISO di Fortinet.
La più recente iniziativa della CISA si allinea fortemente ai processi di sviluppo dei prodotti già esistenti in Fortinet, che si basano sui principi di Secure by Design e Secure by Default. L’azienda si impegna infatti a mettere in atto un robusto controllo della sicurezza dei prodotti in tutte le fasi del loro ciclo di vita, contribuendo così a garantire che sia progettata in ciascuno di essi dall’inizio alla fine.
Ciclo di vita sicuro dello sviluppo del prodotto (SPDLC): Fortinet allinea i propri processi in conformità agli standard più importanti, tra cui NIST 800-53, NIST 800-161, NIST 800-218, US EO 14028 e UK Telecom Security Act. Test robusto dei prodotti: prima di ogni release, vengono utilizzati strumenti e tecniche come i test statici di sicurezza delle applicazioni (SAST) e l’analisi della composizione del software integrati nei processi di creazione, i test dinamici di sicurezza delle applicazioni (DAST), la scansione delle vulnerabilità e il fuzzing, nonché i test di penetrazione e le verifiche manuali del codice. Selezione di fornitori affidabili: per garantire una scelta e una qualificazione rigorosa dei suoi principali partner per la produzione, Fortinet aderisce al NIST 800-161: Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations. L’impegno per garantire la privacy e la sicurezza dei dati è incorporato in ogni parte del business e dei processi di sviluppo, produzione e consegna dei prodotti. Programma di information security: basato e allineato agli standard e ai framework di sicurezza leader del settore, tra cui ISO 27001/2, ISO 27017 e 27018 e NIST 800-53, nonché alle normative sulla privacy dei dati come GDPR e CCPA. Certificazioni di terze parti: i prodotti Fortinet vengono regolarmente certificati e convalidati attraverso gli standard di qualità di terze parti, tra cui NIST FIPS 140-2 e NIAP Common Criteria NDcPP / EAL4+.
In aggiunta, il Product Security Incident Response Team di Fortinet è responsabile del mantenimento degli standard di sicurezza per i prodotti del brand e gestisce uno dei programmi PSIRT più robusti del settore, che comprende la divulgazione proattiva e trasparente delle vulnerabilità. Quasi l’80% delle vulnerabilità scoperte nel 2023 sono state identificate internamente attraverso il rigoroso processo di auditing dell’azienda; questo approccio consente di sviluppare e implementare le correzioni prima che si verifichi una exploitation dannosa. Per realizzare la propria mission PSIRT, Fortinet collabora con clienti, ricercatori di sicurezza indipendenti, consulenti, organizzazioni di settore e altri fornitori.
Per promuovere la propria dedizione a una cultura di trasparenza radicale e responsabile, Fortinet si impegna in una serie di partnership pubbliche e private allineate alla sua mission. In qualità di membro fondatore della Network Resilience Coalition, sta contribuendo a offrire soluzioni per proteggere le reti e i dati sensibili, affrontando inoltre il problema degli aggiornamenti e delle patch di software e hardware che non trovano implementazione. Grazie all’adesione al Joint Cyber Defense Collaborative (JCDC), istituito dalla CISA nel 2021, collabora con enti pubblici e privati con l’obiettivo di raccogliere, analizzare e condividere informazioni utili a mettere in atto una difesa più proattiva dalle minacce informatiche proteggere. Nel suo ruolo di membro fondatore della Cyber Threat Alliance (CTA), condivide informazioni tempestive sulle minacce con altri professionisti della sicurezza informatica per proteggere al meglio i clienti dai cybercriminali. In quanto membro fondatore del Centre for Cybersecurity (C4C) del World Economic Forum, sta inoltre offrendo il proprio contributo con l’obiettivo di incoraggiare la condivisione delle informazioni in tutto il settore, per ridurre gli attacchi informatici globali e contrastare la criminalità informatica.