Su empresa tiene un concepto asesino para una aplicación innovadora o un producto conectado y está en esa etapa inicial de cielo azul y blanco. Tendrá muchas oportunidades para desarrollar su cadena de distribución, crear anuncios llamativos y comenzar el zumbido de las redes sociales. Pero hay una tarea que no puede esperar. Ahora es el momento de comenzar con la seguridad, y eso incluye la aplicación de prácticas de seguridad sólidas al desarrollar nuevos productos.
Los expertos en tecnología le dirán que es difícil injertar la seguridad después del hecho. La estrategia Sounder, y la más probable que gane la confianza del consumidor, es generar seguridad desde el principio. Una mirada a las investigaciones de la FTC, las acciones de aplicación de la ley y las experiencias que las empresas han compartido con nosotros sugieren la importancia de comenzar con la seguridad en el desarrollo de productos. Aquí hay ejemplos obtenidos de esas fuentes.
Entrena a tus ingenieros en codificación segura.
La prima que su empresa otorga la seguridad de los datos sólidos no puede ser un "no es evidente decir". . . " tipo de cosas. Dígalo claramente, sinceramente y con frecuencia. Cree un entorno de trabajo donde se alienta a su personal en cada etapa para factorizar la seguridad en el desarrollo de productos. Desde el concepto hasta el mercado y más allá, articule su expectativa de que los empleados mantengan la seguridad a la vanguardia de su toma de decisiones. En última instancia, es la mejor estrategia para sus clientes, su reputación corporativa y su rentabilidad.
Ejemplo: Una compañía que lanza un nuevo producto de software enfatiza a sus ingenieros de software la importancia de codificar rápidamente para garantizar que el producto llegue al mercado lo antes posible, y los ingenieros cumplen con los plazos de codificación internos. Pero solo después de que el producto está en manos de los consumidores descubre la compañía que los ingenieros han creado repetidamente un código que es susceptible a vulnerabilidades de seguridad comunes y conocidas para las cuales hay soluciones disponibles. Para corregir el problema, la compañía tiene que implementar una costosa solución después del hecho. La práctica más eficiente y, en última instancia, más rentable, habría sido que la compañía enfatice a sus ingenieros de software la importancia de la codificación segura durante todo el proceso de desarrollo y les brinde la capacitación necesaria para cumplir con esa expectativa.
Siga las pautas de la plataforma para la seguridad.
Comenzar con la seguridad no significa necesariamente comenzar desde cero. Cada plataforma importante tiene pautas para que los desarrolladores ayuden a mantener seguros los datos confidenciales. Las compañías sabias tienen en cuenta ese consejo en el diseño de nuevos productos.
Ejemplo: Una empresa Crea una aplicación móvil para dos plataformas de aplicaciones diferentes. Ambas plataformas requieren que los datos se encripten en tránsito y ambas tienen interfaces de programación de aplicaciones (API) que proporcionan cifrado estándar de la industria. Al usar las API de las plataformas correctamente, los ingenieros de la compañía pueden ayudar a mantener los datos seguros.
Verifique que las características de seguridad funcionen.
Mantener un paraguas en su automóvil es una idea prudente, pero pruebe mientras el sol brilla. No espere hasta que un aguacero torrencial para descubrir que las costillas están dobladas o que el mango está roto. En una línea similar, es aconsejable generar características de seguridad en sus productos, pero antes de dirigirse al mercado, verifique que estén habilitados y operan correctamente.
Además, si hace algún reclamo a los consumidores sobre la naturaleza de la seguridad que proporciona su producto, esas representaciones deben ser veraz y respaldadas por la prueba que tiene en la mano antes de comenzar a vender. "Pero no hacemos ninguna afirmación relacionada con la seguridad". Tal vez así, pero ¿estás seguro? Según la Ley de la FTC, las empresas son responsables de todas las representaciones, expresas e implícitas, de que los consumidores que actúan razonablemente bajo las circunstancias toman de los materiales de marketing de una empresa. Eso incluye declaraciones o representaciones transmitidas en la televisión o la radio, impresa, en su sitio web, en anuncios en línea, en el empaque, a través de las redes sociales, en políticas de privacidad o en una tienda de aplicaciones. Las empresas son libres de poner las características de seguridad al frente y al centro en sus materiales de marketing siempre que honre los estándares de verdad establecidos de la verdad. Entonces, antes de promocionar los beneficios de seguridad de su producto, verifique que estén a la altura de sus promesas anunciadas.
Ejemplo: Una empresa que vende una aplicación de presupuesto para el hogar publica un anuncio que afirma que su producto tiene "seguridad de grado bancario". Pero la compañía no tiene un programa de seguridad escrito, no realiza evaluaciones de riesgos, no capacita a sus empleados en prácticas seguras de información y no implementa otras prácticas comúnmente asociadas con la "seguridad de grado bancario". Al hacer representaciones que son falsas o sin fundamento, la compañía probablemente ha violado los estándares establecidos de la verdad en la publicidad.
Prueba de vulnerabilidades comunes.
¿Hay alguna forma de hacer que su producto sea 100% a prueba de hack? Sin volver a los días de las latas conectadas con la cadena, la respuesta es no. Pero hay pasos que puede seguir para proteger a sus clientes de vulnerabilidades conocidas que sean prevenibles con herramientas de seguridad probadas y verdaderas. La buena noticia es que muchas de esas herramientas son gratuitas o disponibles a bajo costo. Antes de lanzar su producto, asegúrese de que esté listo para el horario estelar. Pruébelo para asegurarse de haber incorporado defensas contra riesgos conocidos.
Por supuesto, las nuevas amenazas surgen periódicamente, por lo que la seguridad debería ser un proceso dinámico en su negocio. Los protocolos de seguridad que estableció para el producto del año pasado pueden no ser suficientes para la versión 2.0. ¿Cómo puede mantener su oído en el suelo sobre la defensa de las últimas amenazas? Existe una sólida conversación pública entre investigadores, expertos en tecnología, miembros de la industria, agencias gubernamentales y otros comprometidos a seguir con seguridad. Siga sus discusiones sobre sitios web de confianza, preste atención a sus advertencias sobre nuevos riesgos y revise sus decisiones de diseño en consecuencia.
Ejemplo: Una solicitud de carrera de 10k requiere que los solicitantes de registro ingresen su nombre, dirección, fecha de nacimiento, número de tarjeta de crédito y un tiempo más rápido de 10k. Los datos se almacenan en una base de datos SQL que combina datos de eventos raciales en todo el país. Los organizadores del evento no consultaron recursos gratuitos para mantenerse al día con los riesgos de seguridad, y nunca realizaron ningún análisis de código o prueba de penetración para evaluar si su aplicación era vulnerable a un ataque de inyección SQL. Al mantenerse actualizado con recursos gratuitos, por ejemplo, el proyecto Top Ten de OWASP, el organizador del evento podría haber reducido el riesgo de exponer la información personal de los corredores al acceso no autorizado.
Ejemplo: Una compañía de aplicaciones consulta regularmente a los recursos públicos como US-Cert para obtener información actualizada sobre ciberciones. La compañía se da cuenta de que el producto que está desarrollando incluye una falla de seguridad que algunos piratas informáticos han comenzado a explotar. Al atrapar el problema temprano e implementar una solución apropiada, la compañía ha protegido a sus clientes y su reputación.
¿Qué pueden aprender las empresas de estos ejemplos? Construir seguridad desde cero es un enfoque rentable de la innovación.
Siguiente en la serie: Asegúrese de que sus proveedores de servicios implementen medidas de seguridad razonables
