Para evitar vulnerabilidades ocultas, la ciberseguridad debe integrarse en el proceso de desarrollo desde el momento uno del proyecto, no incorporarse.
Para crear productos y servicios digitales verdaderamente seguros, la ciberseguridad debe integrarse desde la etapa de diseño inicial. Hacerlo puede mantener los costos bajo control y ayudar a las organizaciones a satisfacer mejor las expectativas de los clientes.
Sin embargo, con demasiada frecuencia la seguridad es una idea de último momento y se aborda sólo después de que el producto ya ha sido diseñado.
En nuestra investigación descubrimos que la ciberseguridad rara vez se considera entre los criterios en la fase inicial de diseño. La mayoría de los diseñadores se centran en asegurarse de que sus ofertas sean elegantes, comercializables, utilizables y ricas en funciones.
La seguridad a menudo se consolida después de que se completan los diseños iniciales, ya sea mediante procesos que se ejecutan en paralelo al proceso de desarrollo del producto o por expertos en seguridad que trabajan como consultores del equipo de diseño.
Este enfoque puede agregar costos, ya que generalmente implica rediseñar un producto o adaptar nuevas características, y si un problema no se puede solucionar, es posible que haya que descartar un diseño por completo.
Los líderes de las empresas deben encontrar formas de cambiar las actitudes de los diseñadores sobre la incorporación de la seguridad desde el diseño inicial. Eso se logra cuando los líderes piensan en la seguridad ellos mismos, hablan de ella con sus equipos y la convierten en un factor importante en el diseño del producto.
¿Eres gamer? Protege tu bolsillo, tu identidad e ítems con estas 5 medidas de ciberseguridad
Pocos líderes negarán la importancia de la ciberseguridad para las ofertas digitales. Sin embargo, en la práctica, los equipos de productos tienden a no priorizar este aspecto. Nuestro análisis reveló tres razones por las que esto sucede.
La mayoría de los clientes toman una decisión de compra basándose en las características que añaden valor, reducen los costes o proporcionan otras ventajas que buscan.
Tratan la ciberseguridad como los neumáticos de un coche: esperan que esté ahí, pero compran el producto por sus otras características. Los directores de producto lo entienden.
En una empresa, nos dijeron que la seguridad de su oferta es mucho menos importante que otras características, porque en realidad no importa lo seguro que sea el producto si no satisface las necesidades de los clientes.
A menudo requiere recursos adicionales, como expertos o capacitación especializada, y puede llevar más tiempo realizar pruebas adicionales y reelaborar cuando se encuentran vulnerabilidades.
Los gerentes de productos creen que si su producto pierde la ventana de oportunidad del mercado, los clientes encontrarán alternativas o sustitutos. Si eso sucede, las características de ciberseguridad del producto se vuelven irrelevantes rápidamente.
Un gerente justificó el hecho de dar a las consideraciones de seguridad una prioridad menor diciendo que el producto de la empresa no estaba conectado a nada significativo en los sistemas de los clientes, por lo que una violación no iba a causar mucho daño.
Cuando los gerentes se enteran de un incidente de seguridad cibernética, comienzan a preguntarse si sus productos pueden tener la misma vulnerabilidad. Pero para entonces, podría ser demasiado tarde y la oferta ya podría estar en manos de los clientes.
5 razones por las que una junta directiva necesita saber sobre ciberseguridad
Las organizaciones que estudiamos abordaban la ciberseguridad de las siguientes tres maneras que consideramos bastante típicas.
Algunos equipos de desarrollo no consideran específicamente la ciberseguridad hasta que se descubre una vulnerabilidad. Luego refuerzan la este aspecto según sea necesario.
Los tipos más comunes de pruebas en las que se descubrieron problemas de seguridad fueron las pruebas de vulnerabilidad, las pruebas de penetración y las pruebas de control de calidad.
En este escenario, cuando se descubre una vulnerabilidad, se envía de vuelta al equipo de diseño para que la arregle. Eso puede significar realizar costosos rediseños o encontrar componentes diferentes pero más seguros.
La investigación demostró que los gerentes cuyas organizaciones usaban este enfoque tenían muchas excusas para hacerlo de esa manera. En la mayoría de los casos, la dirección creía que los diseñadores debían centrarse en sus temas y que la ciberseguridad podía manejarse cuando surgía algún problema.
Durante el estudio de un caso, un diseñador nos dijo que un producto llegó hasta la verificación final para su entrega a un cliente antes de que se plantearan problemas de ciberseguridad. Si aparecía una brecha, eso significaba cancelar la entrega del producto o devolverlo a la fase de diseño inicial y comenzar de nuevo. Ambas son opciones muy costosas.
Otro enfoque que observamos fueron los procesos paralelos de revisión del diseño e inyección de pruebas y consideraciones de seguridad en el diseño. La organización que utilizó este enfoque contaba con una serie de puntos de control donde se probaba la ciberseguridad.
El proceso de diseño del producto continuó a menos que el diseño no lograra pasar una de estas puertas. En ese momento el equipo discutió cómo solucionar la vulnerabilidad.
Nuevamente, esto puede ser costoso, pero es mucho menos costoso que esperar hasta el final del proceso para ver si es necesario incorporar funciones de seguridad.
Cuando hay procesos paralelos, hay pasos específicos que los diseñadores pueden tomar para garantizar el diseño.
Un tercer enfoque consiste en incorporar expertos en seguridad directamente al equipo de diseño para que trabajen con ellos. En algunos de los equipos que estudiamos, se designó a un miembro para que se centrara en la ciberseguridad.
El papel de esa persona era hacer preguntas importantes para asegurarse de que los diseñadores tuvieran en cuenta la seguridad en su trabajo. Si bien este enfoque incorpora el diseño de seguridad al proceso antes que los otros dos enfoques, tiene fallas.
En los equipos que estudiamos, este experto era un recurso compartido entre varios equipos de diseño. Es posible que alguien que ocupe ese puesto no esté completamente al día con el diseño actual, lo que requiere trabajo adicional para completar las piezas faltantes.
Y dado que el experto está asignado a varios equipos, es posible que no siempre esté disponible cuando se lo necesita, lo que provoca demoras en el proceso.
Ciberseguridad, esta será la encrucijada del futuro de las telecomunicaciones
Los líderes de las empresas pueden decirles a sus equipos de diseño que quieren que diseñen para la ciberseguridad. Pero eso no sucederá a menos que se implementen mecanismos de gestión adicionales para cambiar los valores, las actitudes y las creencias de los diseñadores.
Los equipos de desarrollo suelen ser recompensados por los diseños elegantes de los productos y la rapidez de comercialización en lugar de por los diseños seguros. Esto envía el mensaje claro de que la seguridad no es la prioridad.
Para impulsar un cambio en las actitudes de los diseñadores, las métricas de seguridad deben ser visibles para los líderes. Sin embargo, nuestra investigación mostró que la técnica más descuidada para fomentar los comportamientos deseados en materia de ciberseguridad era el proceso de evaluación formal.
Criterios como la inclusión de componentes y controles de seguridad en el diseño de la seguridad, la creación de diseños que superen las pruebas y la colaboración con expertos en seguridad para garantizar que las ofertas sean lo más seguras posible desde la fase inicial del diseño deberían formar parte de las evaluaciones de desempeño de los individuos.
El reconocimiento puede ser un gran motivador para los colaboradores, al igual que ocurre con las evaluaciones de desempeño. Los líderes a menudo no destacan los logros de quienes detectan y solucionan problemas de ciberseguridad. Esto envía un mensaje muy claro, aunque no intencionado, sobre lo que se valora en la organización.
Existen numerosas formas de recompensar y reconocer a los empleados que se toman en serio la ciberseguridad.
Por ejemplo, un gerente que entrevistamos dio bonificaciones a los diseñadores que resolvieron un problema de seguridad complejo. O también a aquellos que impulsaron un proceso que incorporó la ciberseguridad a las ofertas de la empresa.
Los diseñadores nos dijeron que no se centraban en la ciberseguridad de sus diseños porque otros miembros de la organización sabían más que ellos y detectarían cualquier problema más adelante en el proceso de desarrollo.
Esta no es una actitud que las empresas deban fomentar. Los diseñadores necesitan una formación básica sobre cómo diseñar para la ciberseguridad y se les debe recordar que es su responsabilidad. Los procesos de desarrollo ágiles también deben incluir historias basadas en los requisitos de ciberseguridad.
Es posible que los diseñadores no se den cuenta de que su trabajo es desarrollar ofertas elegantes, rentables y seguras. Esto puede parecer contradictorio para los directivos que creen haber comunicado esta prioridad.
Pero nuestra investigación muestra que el mensaje de seguridad puede perderse en la complejidad del diseño del producto y en los numerosos mensajes que escuchan sus creadores.
Los líderes deben elaborar un plan de comunicación para reforzar constantemente la importancia de crear ofertas ciberseguras. Esto puede incluir facilitar debates o presentaciones breves en reuniones de equipo u organización, lanzar campañas divertidas y atractivas para que el mensaje sea memorable o incluso utilizar técnicas de marketing tradicionales para cambiar corazones y mentes.
Incorporar la ciberseguridad en una etapa temprana del proceso de diseño hace que todo el proceso de desarrollo del producto sea más eficaz. Evita el trabajo adicional, los mayores costos y las demoras que provocan las revisiones o pruebas de último momento.
Además, reduce la probabilidad de que surjan problemas más adelante. Y eso debería hacer que los líderes de las empresas (y sus clientes) duerman más tranquilos por las noches.
Keri Pearlson es directora ejecutiva del consorcio de investigación sobre ciberseguridad en el MIT Sloan (CAMS). Keman Huang es profesor asociado en la Universidad Renmin de China e investigador afiliado en la Escuela de Administración del MIT Sloan.