De toda la vida, se sabe que las máquinas están diseñadas para trabajar de una manera concreta y para una utilidad concreta. De la misma manera, se sabe que hay maneras distintas de utilizar las máquinas de su propósito original, y no por ello son maneras que impliquen efectos adversos o malignos.
Con la irrupción de la revolución industrial, se consiguió encadenar varias máquinas para conseguir efectos sofisticados y la entrada en escena de los ordenadores no solamente ha sofisticado en grado extremo la producción de cualquier cosa, sino que además ha generado un número indeterminado de usos distintos que a priori no revisten maldad.
Por suerte o desgracia, los mecanismos de la era digital en algunos casos son imperfectos. Esto ha servido muchas veces para lograr avances y otras para provocar accidentes, pero lo esencial es que vivimos en un constante perfeccionamiento de los mecanismos de la cultura digital. De esta manera, cada empresa que tiene un sistema electrónico dedicado a almacenar los registros de la contabilidad, la facturación, los suministros, el stock, el control de la producción y tantos otros datos importantes para su supervivencia, debe estar prevenida de la brutal obsolescencia de los componentes del sistema.
Las mismas corrientes tecnológicas que proporcionan mejoras en algún aspecto de los sistemas dejan expuestos a los existentes que no se han actualizado y aquí aparecen dos de las principales preocupaciones para mantener funcionando el sistema según se espera de él, lo que se viene llamando la «seguridad«. Estas dos preocupaciones son el mantenimiento de las actualizaciones y la verificación del correcto funcionamiento. O dicho de otra manera Security testing y Patch management.
Bien. Con estas precauciones, nuestra empresa ha quedado vacunada contra los posibles efectos adversos de la evolución de la tecnología, pero quizá estamos siendo demasiado optimistas si damos por hecho que los métodos que utilizamos para hacer frente a los problemas de seguridad desde el desarrollo de las aplicaciones de la empresa no deben ser optimizados. Está claro que los problemas que van quedando al descubierto quedan documentados y, por lo tanto, son aplicables. No obstante, la frecuencia y la cantidad de problemas que aparecen nos obligan a desarrollar una metodología propia para implantar la seguridad desde etapas tempranas del desarrollo y así evitar el riesgo que supone tener que corregir sistemas con fallos: ha nacido el ciclo de desarrollo seguro de aplicaciones sSDLC.
A pesar de todo, incluso pensando que hemos cubierto una parte importante de la seguridad, hemos de conectar nuestros sistemas para aumentar la eficiencia de nuestro negocio. Está claro que obtener datos de nuestros proveedores o clientes, poder realizar videoconferencias o permitir el teletrabajo son mecanismos que nos proporcionan inmediatez y ahorro. Justo lo que se necesita para dinamizar el negocio con unos nuevos límites de rentabilidad.
Sin embargo, y estas son dos palabras que suelen aparecer con demasiada frecuencia, estamos dando la posibilidad a posibles agentes maliciosos para conectarse también y robar datos o realizar sabotajes. Hay que marcar los límites de «lo seguro» y proporcionar mecanismos que mantengan nuestra ventaja competitiva, limitar el perímetro de seguridad (Seguridad perimetral), identificar a nuestros colaboradores (gestión de identidades), identificar posibles intrusos (detección de intrusiones), evitar mecanismos de robos de información (Data Loss Prevention), mitigar posibles fallos de aplicación mediante elementos específicos (WAF), evitar malware (Antivirus y personal firewalls) y confiar en que todas estas medidas son suficientes para contener los ataques de un mundo cada vez más hostil y cada vez mejor informado de nuestras debilidades.
Aquí nos detenemos sin entrar en sistemas de monitorización y respuesta, y sin hablar de consultorías de seguridad, gobernanza ni informática forense, datos personales o propiedad intelectual. Parece mentira, que un negocio que podría gestionarse en ocasiones con una simple libreta pueda generar tantos riesgos que haga necesario un montaje tan artificioso como el que acabamos de describir.
Los negocios digitales son eficaces, eficientes, productivos y aportan mucho valor frente a sus homólogos físicos. No son antagonistas y por eso uno no elimina al otro, pero el negocio digital necesita algo que le permita funcionar correctamente sin una dedicación, tan costosa en todos los aspectos, a conseguir que las cosas funcionen como se espera de ellas. Simplemente.
El tiempo que estamos viviendo es apasionante. Están floreciendo gran cantidad de tecnologías que superan en posibilidades a las existentes y es imperativo que los negocios se ocupen de sus objetivos en lugar de estar pendientes de mejorar los mecanismos que los mantienen funcionando. Para esto se ha generado un conocimiento que permite a los especialistas proporcionar esta ayuda de manera cada vez más eficaz y menos costosa. El equipo de personas que trabajamos en Sogeti tenemos como objetivo la seguridad de nuestros clientes para que su preocupación únicamente consista en gestionar su negocio de la mejora manera posible.
Tu centro de expertise en España sobre Quality Engineering y Testing 
0 comments on “La Necesidad de Seguridad en el Entorno Digital”