Cómo la metodología Security by Design hace que la web sea más segura
¿Alguna vez has escuchado algo sobre Security by Design? Sin duda, has notado que el mundo está atravesando una fase de transición en lo que se refiere a cuestiones de ciberseguridad y protección de datos personales: el ciudadano común está cada vez más consciente de sus derechos de privacidad en la web; la transformación digital acelerada por la crisis del nuevo coronavirus (SARS-CoV2) está impulsando a las empresas a modernizar sus operaciones; las entidades gubernamentales de todo el mundo están promulgando leyes para hacer cumplir el uso ético de la información pública sensible, etc.
En medio de esta amplia discusión y la “digitalización” de la sociedad, Security by Design se vuelve aún más importante y se convierte en una práctica crucial para cualquier proyecto o empresa. No estamos hablando de una solución o arquitectura, sino de una metodología de desarrollo de software que predica la apreciación de la seguridad en su núcleo más íntimo. La idea es que la protección de datos sea una prioridad desde el comienzo de la creación de la aplicación, desde las etapas iniciales de su diseño hasta las etapas finales de la primera compilación estable.
Antes de continuar, vale la pena recordar que, históricamente hablando, el software y los sistemas casi nunca se desarrollaron teniendo en cuenta la ciberseguridad. En las últimas dos décadas, el acto de programar o incluso crear un sitio web se ha convertido en algo razonablemente simple. Los desarrolladores, entonces, se “acostumbraron” a priorizar otros temas, como la interfaz, la experiencia del usuario, el diseño y principalmente la agilidad en la entrega de los códigos. Por ello, la seguridad se dejó de lado y cualquier error o vulnerabilidad se solucionaría más tarde.
Privacidad en el inicio
Sin embargo, sabemos que hoy la realidad es completamente diferente. Este formato de desarrollo es algo peligroso, ya que los ciberdelincuentes son lo suficientemente rápidos para identificar los llamados zero days (vulnerabilidades que ni siquiera el fabricante conoce) y explotarlas para crear puertas de enlace al malware. Además, tenemos otro problema histórico que es la resistencia irreparable de los usuarios finales a instalar actualizaciones de software: hay quienes usan versiones antiguas de sistemas operativos incluso hoy por pura pereza para pasar por el proceso de instalación de nuevos sistemas, exponiéndose a amenazas y riesgos innecesarios.
Con la migración de sistemas a la nube, la llegada de 5G y la popularización del mercado de Internet de las cosas (IoT), durante los próximos diez años tendremos una cantidad cada vez mayor de código que se escribirá a diario. ¿No sería mucho mejor para todos si tales aplicaciones, sistemas y firmwares se diseñaran desde cero con un enfoque en la seguridad de quienes los usarán?
A partir de esta mentalidad surgió la práctica de Security by Design, que tiene como objetivo acercar aún más el ámbito del desarrollo de sistemas al de la seguridad de la información. El objetivo es que, con la priorización de la seguridad, se creen nuevas aplicaciones de la mejor forma posible para minimizar la superficie de ataques, reducir al máximo la recogida de datos personales (principio de minimización) y llegar al mercado con una menor necesidad de parches de seguridad. Hay algunos frameworks (es decir, “modelos prontos”) de Security by Design que se pueden utilizar para guiar al desarrollador, pero nada que sea una regla universal.
Artículo traducido de: Como a metodologia Security by Design está tornando a web mais segura — Perallis Security