La seguridad debe ir desde la concepción de la idea del proyecto

Share
Narciso Basic, Business Information Security Officer de Equifax para Chile, Perú y Ecuador 

Los planes estratégicos de TI enfrentan constantes desafíos. Uno de ellos es garantizar que la seguridad esté presente desde el inicio del desarrollo de proyectos o soluciones, es decir, que la seguridad sea parte integral del proceso de creación, desarrollo y puesta en producción de cualquier servicio, producto o aplicación dentro de la organización. 

Esto implica que la seguridad debe ser un componente de la cultura organizacional, permeando cada capa y función, desde los desarrolladores hasta los usuarios finales, de modo que todos comprendan y apliquen principios de seguridad en cada etapa del ciclo de vida del software. 

Ya sea en el desarrollo interno o en la adopción de soluciones externas, es importante gestionar la implementación con un enfoque claro en la seguridad. Independientemente del tamaño de la empresa, se debe verificar que los proveedores cumplan con estándares de seguridad como ISO 27001 o NIST, además de realizar auditorías regulares y evaluaciones de riesgo. Sin embargo, más allá del cumplimiento, los proveedores deben complementar y reforzar la cultura de seguridad de la organización. Asimismo, antes de que el software pase a producción, se deben realizar revisiones y auditorías continuas de código para identificar vulnerabilidades y corregirlas antes de la puesta en producción. 

Cuando se trata de desarrollo interno, es necesario establecer políticas basadas en estándares de desarrollo seguro, como los que ofrece OWASP (Open Web Application Security Project), que proporcionan directrices para crear aplicaciones seguras. También es fundamental capacitar a los desarrolladores en estas prácticas para fortalecer una cultura de seguridad que proteja los sistemas y datos. Los controles de seguridad deben aplicarse en todas las etapas del desarrollo, desde la fase de diseño hasta el despliegue en producción. 

Por otro lado, los controles de seguridad que implementen las organizaciones deben enfocarse en la protección de datos personales, conocer el marco legal y adaptarse a su contexto. Esto puede incluir desde contar con un oficial de protección de datos (DPO) hasta establecer procesos claros para que los ciudadanos ejerzan sus derechos sobre sus datos, como la rectificación o eliminación de la información. Es importante incluir herramientas de evaluación de impacto en la privacidad (PIA) para identificar y gestionar los riesgos de privacidad en los procesos de la empresa. Estas acciones deben tomarse una vez que se comprenda a fondo el flujo de datos dentro de la organización. 

Al desarrollar soluciones internas, se deben implementar controles de seguridad en todo el ciclo de vida del dato, desde su recolección hasta su eliminación. Esto implica el cifrado de datos en tránsito y en reposo y el establecimiento de políticas específicas de gestión de datos, que incluyan prácticas sobre la retención y eliminación de datos de manera segura, cumpliendo con normativas de privacidad y seguridad. 

Un aspecto crítico en la gestión de la seguridad es el control de acceso a los datos. Solo el personal autorizado debe tener acceso a la información sensible, siguiendo el principio de mínimo privilegio. Esto se puede lograr mediante la implementación de medidas como la autenticación multifactorial y el monitoreo continuo del acceso a los sistemas. 

Otras normativas como GDPR, CCPA o PCI DSS, aplicadas desde las primeras etapas de desarrollo, ayudan a cumplir con los requisitos de protección de datos y privacidad desde el diseño. Entre otras normativas relevantes, se encuentran los estándares internacionales como el SDLC (Software Development Life Cycle), que garantizan la seguridad en todo el proceso de desarrollo. 

Estas normativas no solo deben aplicarse a nivel interno, sino también al seleccionar soluciones de terceros, asegurando que todos los actores involucrados hablen el mismo «idioma» de seguridad y estén alineados con los objetivos estratégicos de la organización. 

Las empresas también enfrentan desafíos cuando se trata de gestionar parches de seguridad y abordar vulnerabilidades, tanto en soluciones internas como en aquellas proporcionadas por terceros. Mantener actualizados múltiples sistemas y aplicaciones puede ser complejo, especialmente en entornos tecnológicos diversos. Para gestionar esto de manera eficiente, las organizaciones deben estandarizar sus tecnologías y procedimientos de actualización, estableciendo políticas de gestión de parches y ventanas de mantenimiento regulares que aseguren la estabilidad del sistema. 

Cuando se trabaja con soluciones de terceros, es importante establecer acuerdos contractuales que aseguren el cumplimiento de estándares de seguridad y la aplicación oportuna de parches por parte de los proveedores. Sin embargo, las empresas que desarrollan soluciones internas pueden enfrentar desafíos presupuestarios, ya que las herramientas necesarias para gestionar adecuadamente las vulnerabilidades pueden ser costosas, y es necesario contar con personal especializado para resolver estos problemas. 

Las nuevas tecnologías y tendencias están transformando la forma en que las organizaciones deben abordar la seguridad en el desarrollo de software. El principal reto es adaptarse a amenazas cada vez más sofisticadas. Las empresas deben enfocarse en tres áreas: personas, procesos y tecnologías. Las tendencias emergentes como la inteligencia artificial para detectar anomalías, la automatización en la respuesta a incidentes y la ciberseguridad en la nube están redefiniendo la forma en que las organizaciones protegen aplicaciones y datos. 

Según el Informe de Seguridad 2023 de Equifax, las amenazas como el ransomware, la evasión de autenticación multifactorial (MFA) y las vulnerabilidades en la cadena de suministro se han vuelto más complejas, provocando un aumento de más del 70% en las filtraciones de datos. Este incremento es un recordatorio de que, a medida que surgen nuevos riesgos, deben priorizarse tanto los riesgos existentes como los nuevos con el auge de tecnologías emergentes como IA.