Aprendizaje y descubrimiento 4min de Leitura - 20 de septiembre de 2022

¿Qué es Security by Design?

security by design

This post is also available in: Português Español

Con la gran cantidad de empresas que continúan sufriendo ataques cibernéticos, se puede decir que los gerentes de hoy son mucho más conscientes de que necesitan adoptar las últimas tecnologías e innovar para mantener sus negocios a salvo de los crackers. Después de todo, con una amplia gama de software y servicios a su disposición, los atacantes cibernéticos siempre están explotando las debilidades que puedan tener las protecciones de la empresa.

En caso de intrusión, una de las consecuencias más graves es la pérdida económica, debido a sistemas dañados, posibles rescates a pagar a los ciberdelincuentes (no recomendado), nuevas inversiones en tecnología y una reputación empañada. Para colmo, el blanco de estos ciberataques no se limita a las empresas, también se extiende a los gobiernos, ya que sus sistemas también están en línea y están expuestos al mismo conjunto de vulnerabilidades que el sector privado.

Un problema es que muchas empresas adoptan un enfoque reactivo de la ciberseguridad, respondiendo solo cuando ocurre un ciberataque o cuando hay multas involucradas. También hay casos en los que las empresas recurren a agregar herramientas de seguridad a los sistemas existentes en lugar de incorporar la seguridad en nuevos productos y servicios en función del cálculo previo de los riesgos comerciales.

Situaciones como esta favorecieron el surgimiento del concepto Security By Design. Traducido, significa «Seguridad por diseño» y garantiza que los controles de seguridad estén integrados en el diseño de un producto en las primeras etapas de concepción en lugar de a mitad de su desarrollo, y mucho menos cuando esté listo. Este enfoque reduce la probabilidad de infracciones de seguridad cibernética y se ha convertido en un lugar común en el desarrollo de productos.

Esta metodología llama la atención porque nos permite innovar con confianza y, al mismo tiempo, minimizar y gestionar los riesgos derivados de los ciberataques. La seguridad por diseño es un enfoque estratégico, proactivo y práctico que considera los riesgos y la seguridad desde el comienzo de una iniciativa o producto, en lugar de agregarlos más tarde, y genera confianza en cada paso.

Ventajas de Security By design

  • Security By design ayuda a las empresas a proteger los dispositivos conectados y los datos personales y confidenciales a medida que se desarrollan nuevas aplicaciones y productos;
  • Las empresas pueden identificar sus vulnerabilidades y fallas de seguridad existentes con anticipación con la ayuda de Security by Design, evitando problemas que podrían haber ocurrido más adelante;
  • Aumenta la confianza de las empresas en sus propios sistemas, datos e información, permitiéndoles emprender con confianza proyectos innovadores;
  • Security by Design trae consigo la flexibilidad de modificar el sistema o la configuración solo cuando se necesitan actualizaciones, en lugar de cada pequeño cambio.

Principios

  • 1. Minimiza el área de superficie de ataque
    • Cada vez que un programador agrega una función al software, aumenta el riesgo de vulnerabilidad de seguridad. El principio de minimizar el área de superficie de ataque restringe las funciones a las que pueden acceder los usuarios, para reducir las posibles vulnerabilidades. El programador al desarrollar la aplicación debe hacerlo de tal manera que el acceso a las funciones esté limitado a los usuarios registrados, reduciendo así la superficie de ataque y el riesgo de una intrusión exitosa.

      • 2. Proporcionar privilegios mínimos

      Los usuarios solo deben tener la autorización mínima necesaria para realizar sus tareas. Por ejemplo, si se supone que un usuario solo debe realizar algunas actualizaciones en un sitio, ese usuario no debe tener derechos administrativos, como agregar o eliminar usuarios.

      • 3. Sistemas separados

      Los ciberdelincuentes pueden intentar escalar los privilegios e intentar acceder a otros sistemas después de haber tenido éxito en el ataque. Por lo tanto, estos deben estar separados entre sí. Por ejemplo, el servidor web y la base de datos deben estar en ubicaciones separadas para que, si se piratea un servidor, el atacante no pueda acceder fácilmente a la base de datos.

      • 4. La información confidencial debe estar encriptada

      Dado que los datos se almacenan cada vez más en la nube, las organizaciones no tienen control total sobre su almacenamiento y procesamiento. Por eso es importante cifrar todos los datos confidenciales para que, aunque un ciberdelincuente tenga acceso al sistema, no pueda acceder a los datos.

      • 5. Actualizar y probar regularmente

      Es necesario actualizar los sistemas a las últimas versiones. La razón es que las fallas de seguridad deben corregirse lo antes posible. La seguridad y la vulnerabilidad de los sistemas deben revisarse mediante comprobaciones de seguridad continuas.

      • 6. Defensa en profundidad

      Este método incorpora varias formas de hacer que un producto sea seguro desde el punto de vista de la seguridad. Por ejemplo, para transferir fondos, ciertos sitios web bancarios, además de pedir a los usuarios que ingresen sus credenciales de inicio de sesión, también solicitan que se ingrese el PIN de un solo uso (OTP) enviado al teléfono móvil. El proceso de transferencia de fondos también implementa la verificación de direcciones IP y la detección de fuerza bruta.

      • 7. Los servicios de terceros no son necesariamente confiables

      Las aplicaciones web que dependen de servicios de terceros para funciones/datos adicionales siempre deben verificar la validez de los datos que proporcionan estos servicios y no otorgar permisos de alto nivel a estos servicios dentro de la aplicación.

      • 8. Mantenga la seguridad simple

      La arquitectura debe ser simple al desarrollar controles de seguridad para la aplicación. Los sistemas complejos son difíciles de reparar cuando ocurren errores, y la solución de problemas puede llevar mucho tiempo, lo que brinda una oportunidad para que los ciberdelincuentes los exploten, poniendo la aplicación en mayor riesgo.

      This post is also available in: Português Español