Esta es precisamente la forma en la que se compraba el software y, de hecho, todavía es así la mayoría de las veces. Un CEO o GM o propietario de una empresa debe «llamar» al equipo de IT y a los equipos de seguridad y cumplimiento para informarles de que van a comprar nuevo software para impulsar la innovación en la forma en la que impulsan sus propios productos o servicios.
Esta «llamada» viene porque el software nuevo necesita ser personalizado, integrado y controlado en el entorno local o en la nube de la compañía, por lo que el equipo de IT debe implementarlo y el equipo de seguridad, asegurarlo.
El problema de esto, muchas veces, es que estos equipos al momento de recibir esa llamada ya están «atrasados». Estos equipos son los «defensores» de la empresa en cuanto a software se refiere, por lo que deben aplicar varios productos de terceros a esta nueva aplicación para obtener un control detallado sobre quién accede y a qué datos se tiene acceso y aquí está precísamente el problema del atraso, puesto que esta nueva aplicación no ha sido desarrollada por ellos. Todo lo que pueden hacer es, la mayoría de las veces, improvisar.
El trabajo del «Defensor» es difícil, porque la seguridad y privacidad llevada a cabo en este momento posterior, puede acarrear complejidad en la defensa y vulnerabilidad. La complejidad proviene especialmente de los productos de seguridad que necesitan ser personalizados para funcionar de manera sincronizada con la nueva aplicación. Cuanto más grande y compleja sea esta nueva aplicación, más se tendrá que invertir para configurar y mantener este producto.
La vulnerabilidad, por su parte, surge porque entre la aplicación y los productos de seguridad hay uniones pero también brechas en la comunicación, coordinación y capacidad que viene, por una parte de la propia evolución de la tecnología y, por otro, de esa falta de soporte nativo que hace que sean necesarias adaptaciones.
La solución, obviamente, está en adelantarse
Por su parte, la perspectiva del desarrollador, del creador de la aplicación ha cambiado. Cada vez más, los requisitos relacionados con la gestión del rendimiento, la confiabilidad y la escalabilidad han migrado a los procesos de desarrollo a medida que las operaciones y la infraestructura en la nube se han generalizado. La seguridad ha seguido este ejemplo, ya que los desarrolladores y los equipos han adoptado el mantra de que el secreto para luchar es involucrarse más en la seguridad por adelantado.
Uno de los primeros pasos se ha centrado en disminuir la codificación de las vulnerabilidades, lo que significa que se han introducido herramientas en la línea de ensamble de la aplicación que analizan el código en búsqueda de debilidades y que solicitan a los desarrolladores que aborden esas debilidades.
Y después de prevenir… ¿Qué?
Con la capacidad de monitorizar el acceso a datos, gobernarlo y proteger selectivamente los datos incluso de los propios desarrolladores, hay otra puerta que se abre: la portabilidad de las aplicaciones.
Muchas empresas están buscando formas de aprovechar la economía y la flexibilidad de la infraestructura en la nube. Cuando un equipo de desarrollo conecta herramientas para permitir el control de los datos, el negocio es libre de determinar la mejor infraestructura para la aplicación en función del rendimiento, coste y confiabilidad. Las opciones cloud cada vez más, están sobre la mesa debido a, precisamente, su flexibilidad.
Pese a todo esto, el futuro sigue siendo programable
El mundo de la informática conectada en el que nos encontramos hoy es el resultado de más de 20 años de enfoque en la velocidad, eficiencia y conveniencia. Si bien los desarrolladores y equipos de seguridad que los apoyan se han tomado en serio la seguridad de los datos, el enfoque fundamental y el hardware de dispositivos heredados, a menudo todavía están atrapados en el mundo de la «improvisación».
Sin embargo, al considerar la seguridad de los datos e implementar estas herramientas para proporcionarlos desde un principio, desde el diseño de la aplicación, finalmente logramos todo lo que necesitábamos: seguridad y privacidad desde el diseño.