Seguridad desde el diseño

Avatar

¡Hola de nuevo! En la entrada de hoy nos gustaría hablar sobre el tema de “seguridad en el diseño”.

¿Qué se entiende con este concepto? A grandes rasgos sería incorporar la seguridad en las fases tempranas del desarrollo.

Y la siguiente pregunta que nos puede venir a la cabeza es ¿por qué?

¿Sólo la auditoría de seguridad a posteriori es suficiente?

Analizando la tendencia de ataques que sufren las empresas vemos que un porcentaje muy elevado se debe a errores de programación o de configuración. Muchas empresas, conscientes de ello, realizan auditorías de seguridad periódicas para visualizarlos y corregirlos.

¿Esa es una buena práctica? Sí, pero le podemos dar una vuelta más.

Cuando decidimos crear un nuevo producto pensamos en muchos factores como diseño, funcionalidades, etc. pero no pensamos en la seguridad. Si sabemos que la seguridad no es un estado sino un proceso, ¿por qué no pensar en ella en la definición del producto?

Entonces cuando definamos el sistema, las funcionalidades, etc. debemos tener presente siempre los pilares de la seguridad y emprender las acciones pertinentes para adecuarnos a ellos.

Pilares de Seguridad

Estos pilares son:

  • Confidencialidad: Sólo los usuarios autorizados tendrán acceso a los datos y a
    nuestros recursos.
  • Integridad: Sólo los usuarios autorizados podrán modificar los datos.
  • Disponibilidad: Los datos deben de estar disponibles cuando el usuario los necesite
  • Autenticación: Comunicación bajo unas credenciales conocidas para validar la
    conexión entre las partes.

Los atacantes buscan debilidades en el desarrollo para atacar a los sistemas y poder hacerse con ellos. Está en nuestras manos ponerles las cosas más difíciles.

Pero no descuidemos el producto. Día a día van saliendo nuevas vulnerabilidades que antes nos eran desconocidas. Mantenernos alerta es primordial para protegernos. Por eso es necesario monitorizar y auditar el producto en producción para detectar cualquier evento o vulnerabilidad y poder corregirlo.

  Sector turístico – Agencias de Viajes y la normativa PCI-DSS

Si te ha parecido interesante esta entrada y quieres más información al respecto para
introducirla en tu día a día, no dudes en ponerte en contacto con nosotros.

__

Autor: Carlos Morell

Leave a Comment

stop-cyberbullyingA2SECURE amplia su licencia QSA PCI-DSS