En los últimos años, la proliferación de aplicaciones ha permitido a las empresas, primero adaptar sus procesos de negocio a los mecanismos informáticos, con el incuestionable beneficio que ha supuesto. Después, abrir la empresa a la comunicación efectiva con clientes y proveedores. Más recientemente a la interacción con potenciales clientes o simpatizantes y en la actualidad con la famosa y omnipresente «transformación digital».
El protagonismo de las aplicaciones es indiscutible. «Internet is for code». Sobre esta premisa se han construido una intrincada red de sistemas que ha propiciado el desarrollo de toda una cultura ligada a la tecnología.
Cada minuto, Amazon genera 83.000$ en ventas, se envían 204 millones de mensajes de email, se comparten 2 millones y medio de contenidos en facebook y en un solo trimestre se procesan mil millones de pagos en PayPal. Son cifras vertiginosas que proceden del informe de ISF sobre seguridad de aplicaciones de Septiembre de 2015 y que nos muestran hasta qué punto las aplicaciones se han convertido en el motor de la economía para muchos sectores. Pero aún estamos en el camino y el avance de la tecnología promete que las aplicaciones se conviertan en el motor de la tecnología para otros muchos sectores en los que ahora ni siquiera somos capaces de imaginar.
Las organizaciones trabajan para que las aplicaciones generen el negocio que les permite sobrevivir y ofrecer al mercado productos y servicios cada vez mejores, por eso se centran en ofrecer nuevas funcionalidades que amplíen la oferta y el valor añadido.
Sin embargo, a pesar de ser las aplicaciones las que gestionan los datos, el foco de protección sobre el corazón del negocio prioriza la protección perimetral frente a la seguridad en las aplicaciones. El mismo informe de ISF llama la atención sobre los 1000 millones de datos personales que se vieron comprometidos en 2014, que cada día aparecen 19 nuevas vulnerabilidades de promedio, que en los últimos dos años, el número de vulnerabilidades se ha triplicado, que solamente un tercio de las organizaciones han pasado un análisis de vulnerabilidades a sus aplicaciones y que la inversión en proteger aplicaciones es solamente un 5% frente a la protección perimetral.
Los análisis de tendencias que se publican a principio de año hacen un esfuerzo por poner de relevancia algún ataque muy novedoso o alguna tecnología que mitiga parte de los males que aquejan a las aplicaciones, pero lo cierto es que las vulnerabilidades que se explotan siguen siendo las mismas y se repiten con frecuencia.
Con este panorama, que se repite año tras año, vemos que la tendencia de los fabricantes es a producir dispositivos que pueden ser programados y su lógica puede formar parte de aplicaciones, que estos dispositivos que se conectarán a la nube,… Sí. La nube ha dejado de tener entidad propia, ahora forma parte del Internet de las Cosas, de las aplicaciones móviles, del Big Data, de las Smart Cities,… los dispositivos que se conectan a la nube serán en 2020 alrededor de 50 mil millones y se espera que para 2030 se multiplique esta cifra por 10.
Parece que el panorama no es el más seguro para que proliferen aplicaciones que no son seguras en plataformas programables del Internet de las cosas, Wearables, biotecnología, cyborgs (en el número de diciembre de IEEE spectrum se muestra un cyborg-atleta que prepara las primeras olimpiadas cyborg), coches autónomos, las máquinas que aprenden,… Ya varios actores se han posicionado. Samsung ha recomendado a los usuarios de sus SmartTV que no hablen de cosas confidenciales frente al televisor, pues podrían estar siendo espiados. El jefe de la CIA ha reconocido que pueden usar los dispositivos del Internet de las Cosas para espiar. Si esto lo hacen las agencias gubernamentales ¿Qué podrán hacer los ciberdelincuentes?
Por otra parte la nueva normativa europea sobre protección de datos ha recogido los conceptos de «Security by design and privacy by default» como parte esencial para la protección de los datos de las personas.
Un momento como este, en el que aparecen predicciones en los medios de opinión, como que los robots realizarán el trabajo de humanos en escasos 25 años requiere una profunda reflexión en la industria que desemboque en la adopción de prácticas seguras de desarrollo. Estas prácticas seguras conseguirán aumentar la confianza del mercado en una tecnología siempre cuestionada en su seguridad, además de anticiparse a las iniciativas legales sobre el uso de datos personales en el internet de las cosas y evitar las sanciones por funcionamientos no previstos de los que los fabricantes comenzarán a ser responsables. Por los beneficios que presenta para todos, ahora es el momento de Security by Design.
Desde SOGETI te ayudamos a que tu empresa alcance la transformación digital con seguridad con servicios de ciberseguridad end-to-end .
Juan Carlos Pascual (@JKPascual)
Security Lead en SOGETI España
Tu centro de expertise en España sobre Quality Engineering y Testing 
0 comments on “Security by Design es anticiparse”