Adoptar la "seguridad por diseño": cómo desarrollar una infraestructura más segura

Una nueva encuesta a profesionales de TI de todo el mundo, que presentaremos en las próximas semanas, destaca una vez más la importancia de la ciberseguridad para las organizaciones. No solo se identificó como una de las principales preocupaciones comerciales de los ejecutivos por encima de todos los demás problemas, sino que también queda claro que las empresas invierten más que nunca en programas destinados a combatir las amenazas cibernéticas.  

Es fácil entender el motivo. La variedad de vectores de ataque que enfrentamos hoy en día es polifacética y crece constantemente. En la actualidad, es posible comprar software de piratería por tan solo US$5 y causar estragos desde cualquier parte del mundo. La vulnerabilidad Open Redirect, que ha sido noticia hace poco, es solo la última de una serie de esquemas cada vez más intricados que ponen en aprietos a los equipos de seguridad.  

Según la última versión del "Almanaque de ciberseguridad de 2022" de Cisco/Cybersecurity Ventures, se prevé que el costo de la ciberdelincuencia alcance los US$10.5 billones en 2025. Las organizaciones entendieron que el aumento de la inversión no solo es aconsejable, sino absolutamente obligatorio para la supervivencia de la empresa. Más que nunca, una estrategia de seguridad integral es un componente crítico del éxito de cualquier empresa. Pero no se trata solo de dinero, sino también de personas. 

Seguridad en cada tecla que se pulsa 

Junto con este énfasis intenso en la ciberseguridad y el aumento de la inversión en contramedidas, se produjo otro cambio organizacional crítico. Los profesionales de la seguridad, que antes eran un grupo aislado y solitario dentro de muchas organizaciones de TI, ahora son, por necesidad, protagonistas del desarrollo de productos, y trabajan sin problemas junto con otros miembros de los equipos integrados de DevOps.  

Cuando las organizaciones se encontraban solo en lugares físicos, los equipos de seguridad podían someter a los programadores a una serie de pruebas para garantizar el cumplimiento de un nivel de seguridad básico: ¿respetaron los patrones?, ¿usaron todas nuestras conexiones de base de datos seguras? Pero con la degradación gradual de los centros de datos y la eliminación de los límites de la red, la mayoría de las aplicaciones actuales son una combinación de código original y otros servicios. Además, dado el despliegue de usuarios en todo el mundo, sean empleados o no, tenemos la fórmula para hacer frente a demasiados puntos de inyección de agentes maliciosos. El resultado es que la complejidad adicional en la forma en que las organizaciones despliegan su infraestructura de TI ha creado capas adicionales de vulnerabilidad.  

Estas nuevas vulnerabilidades han generado una serie de nuevas preguntas que las empresas se han visto obligadas a abordar, por ejemplo: ¿cómo afectará la seguridad al diseño y a la arquitectura?, ¿cómo siguen nuestros programadores los patrones para garantizar la seguridad?,  ¿cómo supervisamos las posibles deficiencias en la nube o aquellas relacionadas con los servicios de terceros? 

Al darse cuenta de que la seguridad no podía simplemente incorporarse como una idea de último momento, la mayoría de las organizaciones reemplazaron la mentalidad de seguridad por etapa por una mentalidad de "seguridad por diseño". Los profesionales de la seguridad, que antes se consideraban portadores potenciales de malas noticias, ya no son considerados tanto como adversarios sino más como aliados clave por sus colegas, ya que ayudan a garantizar buena regularidad en la entrega de calidad y resiliencia, sin errores costosos. Si bien la casilla de seguridad solía marcarse de forma progresiva a medida que las organizaciones pasaban las diferentes fases del proceso de desarrollo de aplicaciones, ahora se hace cada vez que se pulsa una tecla.  

Seguridad en la nube, lista para usar  

Afortunadamente, también hay una serie de herramientas excelentes listas para usar que los profesionales de la seguridad pueden emplear para simplificar sus vidas y las vidas de sus equipos. Empresas como nuestro socio Oak9 ofrecen a las organizaciones la capacidad de automatizar la seguridad nativa de la nube en todos los procesos de DevOps, desde el diseño hasta la producción. Al integrar la seguridad antes de que las aplicaciones se lancen en el entorno de la nube, las empresas pueden solucionar problemas de seguridad y abordar las brechas de compliance en tiempo real, sin el costo ni los recursos humanos adicionales que se necesitan para crear soluciones desde cero.  

A medida que las empresas continúan con sus transformaciones en la nube, la seguridad seguirá pareciendo una preocupación clave, ya que los agentes maliciosos no se dan por vencidos. Pero al pensar en la seguridad en cada paso del proceso, al seguir eliminando los silos y al determinar cómo los proveedores externos y las soluciones listas para usar pueden ayudar a facilitar la transición, los equipos de desarrollo de aplicaciones pueden facilitarle mucho la vida. 

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.