Seguridad por diseño (Security by Design, SbD)

Índice:

1. ¿Qué es la SbD?
   1. Importancia del SbD
2. Principios de seguridad

¿Qué es la seguridad por diseño?

La seguridad por diseño, Security by Design (SbD) en inglés, es un enfoque de seguridad tecnológica empresarial que se centra en automatizar los controles de seguridad de los datos y en el diseño de su infraestructura para garantizar la seguridad. Es decir, la seguridad por diseño está pensada para prevenir cualquier fallo de seguridad tecnológicaLa seguridad TIC, o Information Technology Security (IT security) en inglés, se encarga de implementar las medidas de seguridad para proteger la información usando diferentes tipos de tecnología. La seguridad TIC protege los datos empresariales, que comprenden tanto los de formato electrónicos como en papel. para no tener que ir reparando los problemas después. Como dice el dicho: “Más vale prevenir que curar”.

Este enfoque se debe realizar al principio de un proyecto tecnológico (ya sea de hardwareUn hardware es el componente material que conforma un equipo informático, es decir, todo aquello que se puede tocar, como por ejemplo: la pantalla, el ratón, el teclado, etc. Esto actúa en contraposición al software, que se refiere al componente lógico de un equipo informático (todos los componentes que no se pueden tocar pero que hacen posible la realización de tareas específicas): sistema operativo, procesadores de texto, etc. Gracias a la combinación de software y hardware, un equipo informático funciona correctamente. o de softwareUn software es el componente lógico del que está constituido un equipo informático. Es decir, se trata de una herramienta que está formada por todos los componentes del sistema que no se pueden tocar, pero que hacen posible la realización de tareas específicas, como por ejemplo: procesadores de texto, hojas de cálculo, editores de imágenes, sistema operativo, etc.). Pensar en seguridad por diseño cuando ya está todo implementado no tiene sentido porque no se puede modificar el diseño de la infraestructura. Algunos servicios tecnológicos ofrecen este compromiso de seguridad por defecto. Por ejemplo, Amazon Web ServicesAmazon Web Services, también conocida como AWS, es un conjunto de herramientas y servicios de cloud computing de Amazon. Este servicio se lanzó oficialmente en 2006 y para junio de 2007 AWS ya contaba con una base de usuarios de aproximadamente 180 mil personas. Desde almacenamiento a la gestión de instancias, imágenes virtuales, desarrollo de aplicaciones móviles, etc., la nube de Amazon ha ido consolidándose a lo largo de los años como una de las más grandes del mercado. Sin embargo, otros mercados emergentes en estas plataformas han conseguido convertirse en dignos rivales, como Microsoft y su Azure. tiene dentro de su sección de compliance un apartado dedicado al SbD. En él indican que garantizan el enfoque a la seguridad por diseño, una automatización de los controles de seguridad y que facilita las auditorías.

“El problema es que el 95% de los ataques que tienen éxito se deben a un software mal programado, mal mantenido o mal configurado. Sin embargo, este problema podría resolverse si se tuviera en cuenta la seguridad directamente desde el principio, en lugar de poner una tirita al producto sólo cuando ya está montado” – Thomas Tschersich, jefe del departamento de Seguridad Interna & Protección frente a los ciberataques en Deutsche Telekom (traducción propia)

¿Por qué es importante la seguridad por diseño?

Los sistemas que están diseñados desde el punto de vista de seguridad tienen como objetivo prevenir la aparición de vulnerabilidades. Por ello, estos diseños se centran en establecer medidas y poner controles que eviten que surjan problemas. Por ejemplo, porque un usuario abra un enlace que desencadene un ataque ransomware sin querer o porque un usuario sin derecho a acceder al sistema de nóminasUn software de nóminas sirve para generar las nóminas de los empleados. Con este software se puede: almacenar y gestionar los datos de los empleados; calcular y emitir las nóminas; elaborar e imprimir cheques; administrar impuestos; gestionar fechas clave y de otros trámites administrativos comunes; depositar directamente los cheques en la cuenta bancaria de los empleados; deducir automáticamente; gestionar planes de pensiones.; gestionar el finiquito; entre otras. pueda meterse y hacer cambios. La mayoría de las acciones que se realizan en el enfoque de seguridad por diseño está enfocado al usuario. Esto se debe a que el usuario es el eslabón más débil de la seguridad TIC.

Interesante: el derivado de seguridad por diseño, privacidad por diseño (privacy by design), es una estrategia que puede evitar muchos problemas en cuanto al no cumplimiento de la ley de protección de datos (GDPR)Desde el 25 de mayo de 2018 se aplica el Reglamento general de protección de datos (GDPR, General Data Protection Regulation) en toda la Unión Europea. Esta ley uniforme transpone las leyes nacionales de protección de datos, como la Ley Orgánica de Protección de Datos (LOPD). El objetivo final de la nueva legislación es la protección de los derechos básicos de privacidad de los implicados. . Esta ley obliga a las empresas de software a diseñar sus sistemas para que los usuarios no puedan ejecutar tareas que no son conformes a la GDPR, y que no se piden más datos personales de lo estrictamente necesario.

No obstante, la programación del sistema también es tomada muy en serio a la hora de hacer el diseño. Para ello, se le puede dar una serie de pautas a los programadores que están desarrollando un sistema para asegurar que siguen prácticas seguras y uniformes. Asimismo, también es muy útil el uso de monitorizaciones del desempeño del sistema, autenticaciones, controles y auditorías. De esta forma, es menos probable que algo ocurra, y, si ocurre, se detecta fácilmente.

Principios de seguridad

La organización sin ánimo de lucro OWASP (Open Web Application Security Project, proyecto abierto de seguridad de aplicaciones web) ha establecido 10 principios de seguridad. Estos principios son:

1. Minimizar la superficie de ataque: cada elemento que se le añade a una tecnología supone un potencial riesgo para la tecnología en general. Por ejemplo, si se le añade a un software un plug-inUn plug-in es un sistema que se conecta a un programa mayor para ampliar sus funcionalidades. Es importante saber que un plug-in no funciona por sí mismo, sino que necesita un programa mayor. Los plug-ins se implementan en los programas con ayuda de API’S. Por ejemplo, un sistema de gestión de contenidos, como WordPress, tiene una gran serie de plug-ins que se pueden conectar a ella. De esta forma, WordPress puede incluir funcionalidades de SEO, e-commerce, autenticación de usuarios, entre otras. Además, también puede ayudar con la gestión de otras cuestiones, como la instalación del SSL. para categorizar el inventario. Algunos plug-ins tienen ciertas zonas que por su desarrollo son más susceptibles a ataques. Entonces, es necesario hacer lo posible para minimizar ese riesgo. Para ello se puede establecer que sólo tengan acceso a esa función ciertas personas autorizadasLa gestión de identidad y acceso se conoce también por sus siglas en inglés, IAM (Identity and Access Management). IAM se encarga de la administración de usuarios y sus derechos de acceso dentro de la red (comercial). Con esta gestión, la empresa mantiene el control sobre qué usuarios inician sesión y realizan ediciones en los sistemas, aplicaciones, bases de datos, etc. Los usuarios pueden variar desde empleados a clientes o proveedores. o, incluso mejor, eliminar esa función si no es del todo imprescindible.
2. Establecer valores seguros por defecto: este principio consiste en ofrecer el entorno más seguro por defecto al usuario. Ya si el usuario decide reducir esa seguridad (si es que le está permitido), que sea elección suya. Por ejemplo, estableciendo una capa de conexión segura (SSL)La capa de conexión segura, o Secure Sockets Layer (SSL) en inglés, es un protocolo de seguridad tecnológica. El SSL se encarga de establecer un vínculo encriptado asegurando que todos los datos que se transmiten entre un servidor web y un navegador se mantienen íntegros y privados. Esto puede resultar muy útil en casos como, por ejemplo, de e-commerce en los que los clientes van a introducir sus datos sensibles como números de tarjetas bancarias, de identificación (pasaporte o dni), dirección, etc. en el servidor web. Ya si el usuario quiere acceder a otra web que no lo tenga, es su propia elección.
3. Privilegio mínimo: consiste en otorgar la menor cantidad de privilegios posible a los usuarios para desempeñar los procesos empresarialesUn proceso empresarial consiste en una serie de pasos, actividades y tareas que se realizan para obtener el resultado deseado. El resultado deseado puede ser la fabricación de un coche, el procesamiento de una factura o el trayecto que se sigue para conseguir vender. Por tanto, un proceso empresarial se centra en cómo se debe hacer el trabajo y en los flujos de trabajo dentro de una organización.. Esto se debe a, cuanto menos funciones tengan en las que confundir o cometer errores, mejor seguridad habrá. Este privilegio mínimo no sólo se aplica a los derechos de los usuarios, sino también a los de: middlewaresUn middleware es un software que permite que las aplicaciones de un sistema se comuniquen entre sí y, también, con otros paquetes de software, con el sistema operativo y con elementos hardware. Es, por tanto, un software que se encarga de conectar entre sí otros software para que éstos interactúen cuando se necesite, produciéndose un traspaso de datos de uno a otro.; CPUs, memorias, redes y sistemas de archivos.
4. Defensa en profundidad: cuantos más controles se pongan, mejor. Es mejor tener varios controles a que haya un posible riesgo de ataque. Los controles dificultan que haya vulnerabilidades. Estos controles pueden ser: auditorías centralizadas, validación por niveles, entre otros. Sin embargo, hay que guardar cierto balance en el número de controles. Esto se debe a que por cada control que se realiza se pierde rapidez y facilidad de uso. Por ejemplo, una empresa puede poner muchos controles en la gestión de las facturas electrónicasLa facturación se manda cada vez más de forma electrónica, pero no es suficiente para llamarlo factura electrónica. Una versión PDF de una factura sí que es un documento electrónico, pero no se procesa automáticamente de manera inmediata. En una factura electrónica sí que sucede esta factura automática. El software de contabilidad de la empresa que lo envía, crea un archivo digital estructurado que hace que el sistema de contabilidad de la empresa que lo recibe lo pueda procesar electrónicamente.. Esto puede sonar muy útil, pero si debido a esos controles un administrativo va a tardar 10 minutos más, entonces es posible que busque una forma alternativa de gestionarla. Resultando esa forma alternativa en una brecha de seguridad.
5. Fallar de forma segura: los fallos en los procesos de las aplicaciones pueden suceder por muchos motivos distintos. Lo importante es ver cuál ha sido la forma en la que fallan, ya que eso determina si la aplicación es segura. Esto quiere decir que, por ejemplo, cuando haya un fallo, se deniegue el acceso al sistema por defecto. De esta forma, el fallo acaba en bloqueo del acceso y los hackers no pueden entrar.
6. No confiar en los servicios: muchas empresas usan capacidades de procesamiento de terceros. Las políticas y posturas de seguridad de terceros muy probablemente sean diferentes a las de la empresa contratante y, además, normalmente no se tiene control sobre ellas. Por tanto, no se puede confiar de forma implícita en los sistemas externos. En este caso, lo que se puede hacer es que los partners firmen un contrato en el que aseguran que van a cumplir con protocolos de seguridad de la empresa.

   Atención: este tipo de contratos son muy comunes en el mundo de software. Por ello, TIC Portal ha creado el Premium digiBook Asuntos legales de una contratación TICEste Premium digiBook ayuda a los jefes de proyectos a comprender claramente los aspectos legales de los contratos de software. Además, proporciona herramientas para garantizar que no se pasa nada por alto antes, durante y después del cierre de un contrato TIC.. En este digiBook se encuentran todos los aspectos legales que hace falta saber para que una contratación de software vaya bien.

7. Separación de funciones: un control clave del fraude es la separación de funciones. El objetivo es eliminar la posibilidad de que un solo usuario realice y oculte una acción prohibida. Por ejemplo, que un administrador pueda meterse en el usuario de algún usuario para inculparle de algo por motivos personales.
8. Evitar la seguridad por oscuridad: el método de seguridad por oscuridad o por ocultación consiste en mantener en secreto el código fuente del software, ocultar los algoritmos y protocolos utilizados. Este método por sí solo no es suficiente ya que sólo oculta el código, pero si es descubierto no detiene el ataque. La seguridad debe basarse en muchos otros factores, como políticas de contraseñas razonables, controles profundos (al igual que de fraude y de auditoría), limitaciones en las transacciones y una arquitectura de red sólida.
9. Mantener simple la seguridad: algunas empresas siguen una tendencia de utilizar enfoques complejos. Por ejemplo, hay empresas que usan arquitecturas complejas en su desarrollo del software. Esta forma de complicar contribuye a que sea más difícil para los programadores, facilitando la aparición de fallos y vulnerabilidades. Por tanto, a veces la forma más segura es utilizando una programación sencilla que evite errores.
10. Arreglar los problemas de seguridad de forma correcta: cuando se ha detectado un problema de seguridad, es importante hacer pruebas para identificar la raíz del problema. Además, si se utiliza un patrón de diseño, es muy probable que este patrón se encuentre en otras partes. Por tanto, es crucial que, una vez se sepa cómo resolverlo de forma correcta, se analice si este patrón se encuentra repetido en otras partes para corregirlo.