Por: Surinder Dhar Director de Soluciones Móviles y Desarrollo de Producto de Valid

La innovación es la piedra angular de cualquier empresa que aspira a ser líder de mercado o a mantener su posición de liderazgo. Aunque la seguridad es lo más importante para la mayoría de las empresas, todavía no forma parte de su ciclo de innovación. Esto quedó evidente en la encuesta de Bromium (El Dilema de los CISOs: Seguridad versus Productividad), en la que se constató que el 74% de los Directores de Seguridad de la Información (CISOs) dijeron que los usuarios finales se frustran cuando la productividad se ve afectada por la seguridad, y el 81% dice que los usuarios finales consideran las políticas corporativas de seguridad como un obstáculo a la innovación.

Decir que la seguridad restringe el avance de innovación es una creencia muy popular, por lo que esas estadísticas no deberían causarnos sorpresa. Ese es el resultado de una mentalidad centrada en TI que viene de décadas pasadas diciendo que «si no está roto, no lo arregles». TI se ha transformado en la última década a través de la implementación de las soluciones ágiles, DevOps, cloud/edge computing, integración continua y automatización, haciendo que la seguridad sea mucho más complicada. El número de violaciones de datos y ciberataques aumentan en frecuencia cada año y no parece haber un fin a la vista para esa situación.

En Valid hemos tomado distancia de esa mentalidad y no pensamos en la seguridad como un obstáculo para la innovación, sino como una oportunidad que nos permite entregar mejores productos al mercado. Además, creemos que la seguridad es mucho más que un complemento de un producto/servicio o una funcionalidad adicional para alcanzar el éxito. Como una empresa que entrega productos nuevos e innovadores, estamos buscando continuamente la forma de aumentar la seguridad de nuestra cartera de productos.

La seguridad requiere un trabajo duro, un pensamiento innovador y tiene que abordarse de manera continua. Comienza con la aplicación de procesos de seguridad desde el principio del ciclo de desarrollo del producto, al mismo tiempo en que se montan los equipos y los procesos necesarios para permitir la innovación. El enfoque clásico de «seguridad en el diseño» empieza en la implementación poniendo el enfoque en la solución de todos los tipos de debilidades más comunes en la arquitectura del producto. Esto constituye una mentalidad centrada en la seguridad que abre espacio para que los desarrolladores de software y productos eviten problemas fundamentales en el diseño, tanto arquitectónico como de implementación y ayuda a desarrollar técnicas novedosas para identificar y mitigar esos tipos de fallas. Algunas de las técnicas empleadas en la «seguridad en el diseño» incluyen:

  • Ataque de fijación de sesión: La fijación de sesión es un ataque que permite a un atacante secuestrar una sesión de usuario válida. El ataque explota una limitación en la forma en la que una aplicación web gestiona el ID de sesión o, más específicamente, de las aplicaciones vulnerables de Internet.
  • Modelado de amenazas: El modelado de amenazas puede tener muchos significados, pero por lo general esas definiciones incluyen:
    • Pasar por un proceso analítico para averiguar qué podría fallar con el software o el producto que se está construyendo.
    • Construir un conjunto de atacantes remotos y desarrollar formas de mitigarlos.
  • Análisis de riesgos arquitectónicos: El análisis de riesgos arquitectónicos es un enfoque sistemático dirigido a evaluar las decisiones de diseño considerando los requisitos de calidad. Para que el análisis de riesgos arquitectónicos sea efectivo, es necesario que quienes hacen esa labor tengan conocimientos previos de los defectos arquitectónicos basados en el contexto del software, tales como los requisitos, los procedimientos tácticos arquitectónicos aplicados, entre otros.
  • Formación en seguridad: Proporcionar una formación adecuada a los empleados para desarrollar un background seguro en soluciones seguras.

Estas técnicas se están volviendo cada vez más populares y la investigación seguirá en aumento a medida que las amenazas continúen prevaleciendo. La gestión de la seguridad ya no es un ejercicio retrospectivo conducido por compliance, sino un proceso de transformación necesario para lograr una innovación inteligente que debe incluirse en la estrategia empresarial.