Aprendizaje y descubrimiento 3min de Leitura - 21 de diciembre de 2022

Security by Design: Cómo comenzar

security by design como começar

This post is also available in: Português Español

Dado que las medidas de seguridad tradicionales, como las evaluaciones de vulnerabilidad y las pruebas de penetración, no son suficientes para aumentar la ciberseguridad de una empresa, la seguridad, por definición, puede ayudar a que el software sea más seguro y más fácil de parchear a largo plazo. Es un enfoque que ayuda, a los desarrolladores y al personal de seguridad de TI, a descubrir y corregir vulnerabilidades rápidamente, pensando en la seguridad desde los primeros pasos del desarrollo.

Las empresas a veces se exponen a riesgos al experimentar con tecnologías nuevas o avanzadas. El año pasado (2021) se detectaron alrededor de 2.049 ataques de esta naturaleza, según un informe de Clusit sobre ciberseguridad. Esta cifra representa un aumento del 10% con respecto al año anterior. Los ciberataques aumentan en cantidad y calidad cada mes: el 79 % de ellos tuvo un impacto significativo, el 32 % se consideró crítico y el 47 % de gravedad alta.

Sin embargo, el desarrollo de software mejora a diario, y los ciberdelincuentes también están desarrollando métodos de vanguardia para violar las defensas. Por lo tanto, es fundamental utilizar métodos innovadores como la «seguridad por diseño», que proporciona a los equipos de desarrolladores conocimientos operativos y de seguridad para verificar el código en cualquier momento en busca de posibles fallas.

Enfoque diferente

Es posible diseñar formalmente una infraestructura y automatizar las medidas de seguridad utilizando el enfoque Security by Design (SbD). Este procedimiento hace que cada paso del proceso de administración de TI sea más seguro. Además, la idea es enfatizar que en lugar de perder tiempo creando, configurando y parcheando manualmente cada servidor, puede usar sus habilidades y recursos para crear un software que administre la seguridad de las aplicaciones las 24 horas del día.

Si bien este tipo de diseño de sistema no es completamente nuevo, la popularidad de las nubes públicas ha hecho que SbD sea mucho más fácil de implementar. Recientemente, la estrategia fue ampliamente promovida y formalizada para la audiencia de la nube por parte de Amazon Web Services. Otras empresas a menudo promueven conceptos similares o comparables en Secure DevOps, Security Automation, Security-as-Code o SecOps.

En resumen, la seguridad por definición garantiza que los sistemas y todos sus componentes se construyan desde cero teniendo en cuenta la seguridad. Se trata de adoptar un enfoque proactivo y construir seguridad desde el principio. Con este enfoque, los componentes y los sistemas pueden trabajar juntos, brindando seguridad y privacidad.

En ingeniería de software, seguro por definición significa que se siguen los estándares de diseño seguro cuando se crea un nuevo producto, desde la concepción, en lugar de depender de parches u otras actualizaciones. Esto garantiza que se sigan estándares seguros y protegidos durante el diseño, para que pueda construir y diseñar productos de la manera más segura posible.

Entonces, la codificación segura, por definición, se trata de diseñar y construir productos de una manera específica. En lugar de garantizar que ciertos fragmentos de código se incluyan e implementen más tarde, la seguridad está integrada por diseño.

Para llegar a la SbD se deben tener en cuenta los siguientes puntos:

  • Crear una red con tecnología comprobada, ya que es esencial mantenerse actualizado con las vulnerabilidades de la tecnología y biblioteca, así como aplicar parches en el momento oportuno.
  • Aumentar la conciencia informando a los desarrolladores sobre las necesidades frecuentes y los peligros del software que crean.
  • Definir estándares de mantenimiento y proporcione métodos para medirlos, actualizando el código fuente según sea necesario para la seguridad.
  • Buscar verificaciones automatizadas, realizar inspecciones manuales y mejorar la privacidad.

Prácticas recomendadas

Los expertos creen que el desarrollo seguro no se trata solo de software, también se trata de construir sistemas de la manera correcta. En el mundo digital y conectado de hoy, los entornos a menudo están interconectados y construidos sobre otros productos, lo que puede causar muchos desafíos en lo que respecta a la seguridad. Como resultado, un enfoque de desarrollo seguro es una característica muy necesaria. Si el ecosistema completo se construyera de esta manera, todos los componentes interconectados tendrían seguridad incorporada, lo que reduciría las vulnerabilidades y proporcionaría una red de seguridad y garantía adicionales.

Por lo tanto, los recursos de seguridad deben diseñarse en un sistema planificado para minimizar las vulnerabilidades humanas y de software. Además, cada componente de un sistema también debe protegerse por separado para que, si se produce una infracción, cualquier daño sea limitado y no impacte ni se propague por todo el entorno.

Otra mejor práctica a implementar es el principio del privilegio mínimo: Los usuarios reciben solo el acceso mínimo necesario para completar sus tareas, lo que garantiza que ningún usuario tenga acceso general completo en todo el entorno. Esto significa que, si las credenciales de un usuario se ven comprometidas o se produce una infracción, se restringirá el acceso y los datos que cualquier ciberdelincuente pueda obtener.

Futuro

Los sistemas de sujeción nunca deben considerarse completamente terminados y finalizados. Estamos hablando de un proceso que está en constante innovación, aprovechando la tecnología de diferentes formas. Invariablemente encontrará nuevos riesgos de seguridad a medida que se produzcan avances.

Esto también impacta en conceptos que ya están muy extendidos, como la protección con contraseña. Recordando que por definición, seguridad, significa agregar una capa adicional de protección.

Además, las funciones de administración de acceso privilegiado (PAM) también pueden complementar un enfoque de seguridad por diseño, protegiendo los activos de TI confidenciales, especialmente si las herramientas PAM implementadas se crearon utilizando este principio de seguridad.

This post is also available in: Português Español