Transformation in die Cloud - welche Cloud darf es sein?
Perspective Security

Seguridad en el diseño: seguro desde el principio mismo

14-feb-2017

Vorteile von Security by Design – integrierte Sicherheit
Antes de sacar un nuevo producto, por la cabeza del creador de software pasan muchas preguntas: ¿Qué apariencia deberían tener las pantallas de entrada nuevas? ¿Qué nivel de eficiencia debería tener el nuevo software? Hay un aspecto importante que, sin embargo, sigue siendo olvidado con demasiada frecuencia: la seguridad. Y eso ocurre en un momento en que el número de ciberataques aumenta rápidamente, como se muestra en el informe de estado de la Oficina Federal Alemana para la Seguridad de la Información. Según el informe, los expertos descubren, por ejemplo, alrededor de 380000 versiones de malware nuevo cada día. Algunas grandes multinacionales ya tienen registrados miles de ataques al día.
“El problema es: un 95 por ciento de los ataques con éxito se debe a un software mal programado, con un mantenimiento deficiente y con una configuración inadecuada”, dice Thomas Tschersich, jefe del departamento de Seguridad Interna & Protección frente a los ciberataques en Deutsche Telekom. Sin embargo, este problema se podría resolver teniendo en cuenta la seguridad desde el principio, “en lugar de ponerle una tirita al producto una vez elaborado”, dice Tschersich. El término técnico para ello es: seguridad en el diseño.

La seguridad en el diseño evita errores desde una etapa temprana

Si un creador de software incluye elementos de seguridad entre los criterios de diseño, se podrán evitar los errores del sistema desde el principio. “Entonces, los ingenieros de software trabajan de una manera completamente diferente, puesto que se van abriendo camino entre los requisitos. Si la seguridad no es uno de los criterios de diseño, entonces no la abordan”, explica Tschersich. En ese caso, los creadores de software solo pueden esperar que todo vaya bien. “Aunque, por lo general, la experiencia muestra que lo que ocurre es lo contrario”.
De manera ideal, el tema de la seguridad ya es una parte firme de la fase de concepción: ¿Se puede poner la idea en práctica en lo relativo a los aspectos de seguridad? ¿Qué tipo de requisitos funcionales de seguridad se necesitan? Como resultado, el aspecto de la seguridad se incorpora en la creación del prototipo; y se mantiene en todas las fases de la producción. “Cuando el producto acabado se somete a pruebas de aceptación, avanza inmediatamente en el mejor de los casos”, dice Tschersich.

Más de un 95 por ciento de reducción del margen de ataque

Tschersich, experto en seguridad, aconseja a las empresas que sigan siete reglas básicas. “Si aplica estas ‘reglas de oro’, reducirá la posibilidad de ataque en más de un 95 por ciento”.

1. Mantenga un margen para el ataque reducido: 

El margen de ataque se puede reducir desactivando lo superfluo. Los programas de software y los componentes en los sistemas informáticos innecesarios desactivados no pueden sufrir ataques. Como dice Tschersich: “Si solo necesita una puerta de entrada a su casa, entonces construya solo una”.

2. Autentificar adecuadamente: 

La información confidencial y los sistemas informáticos solo deberían ser accesibles por las personas con las que usted quiere comunicar. “Si se asegura de que solo los usuarios o sistemas autentificados pueden acceder a algo, usted excluye a todos los no identificados con una nivel de probabilidad alto”, dice Tschersich.

3. Comprobar las entradas: 

Con cada entrada se debería comprobar qué caracteres están permitidos, sobre todo los caracteres especiales, así como la longitud máxima permitida. Un ejemplo: cuando un usuario hace un pedido en una página web, en el apartado destinado a la fecha de nacimiento solo se requieren números y, quizás, puntos. “Ignorar todo lo que no sean números y puntos puede ayudar a evitar un ataque”, dice Tschersich.

4. Separar los sistemas: 

Después de un ataque con éxito en el sistema, los piratas informáticos, por lo general,  tratan de obtener acceso, gradualmente, a otros sistemas partiendo del anterior. Por lo tanto, los sistemas deberían estar separados los unos de los otros. “Si el servidor web, por ejemplo, es víctima de un ataque, el pirata informático todavía está lejos de haber llegado a la base de datos”, observa Tschersich.

5. Cifrar los datos confidenciales: 

El acceso a los sistemas de almacenamiento, procesamiento y transferencia de datos normalmente no está en manos, al cien por cien, de la propia empresa, como es el caso si se utilizan los servicios de la nube. Eso significa que proteger la información confidencial es de capital importancia. “Incluso si un pirata informático ataca el sistema, no podrá acceder a los datos cifrados”, explica Tschersich.

6. Actualizar regularmente: 

Los sistemas no están protegidos si su versión no está actualizada. Es la única manera de evitar que los piratas informáticos utilicen las brechas de seguridad conocidas. Con frecuencia, las nuevas versiones vienen con mecanismos para colmar las brechas de seguridad identificadas en versiones anteriores, por ejemplo.

7. Comprobar constantemente la seguridad: 

Hay que revisar constantemente, mediante controles de seguridad,  el estatus de seguridad de los sistemas y su vulnerabilidad frente a los ataques. “Los sistemas tienen vida propia y no dejan de evolucionar. Además, cada vez se descubren más puntos débiles”, explica Tschersich.

La seguridad en el diseño reduce el riesgo de responsabilidad

Según el experto en seguridad, una empresa también reduce los riesgos de responsabilidad si utiliza la seguridad en el diseño. “En el futuro, los productores podrán ser responsabilizados si no han introducido la seguridad desde el principio”. Si una empresa no puede probar que ha asegurado la seguridad adecuada, pronto tendrá un “problema financiero considerable”, dice Tschersich.