Para evitar vulnerabilidades ocultas, la seguridad debe integrarse en el proceso de desarrollo, no incorporarse.
Todo el mundo comprende la importancia de la seguridad para los productos y servicios digitales. Los clientes esperan que las ofertas digitales sean seguras, especialmente cuando las incorporan a sus propios productos y servicios. Por ejemplo, un fabricante que incluye un sensor en el diseño de su producto espera que el sensor que utiliza sea ciberseguro y no introduzca vulnerabilidades. Cualquier dispositivo conectado a Internet puede crear un punto de entrada para ataques que acceden al sistema interno, roban credenciales, plantan malware o recopilan datos confidenciales. Pero como muestra una infracción tras una infracción bien publicitada, nuestros procesos de desarrollo para incorporar la ciberseguridad en productos y servicios continúan fallando. Todavía no hemos llegado al punto en el que la seguridad no solo se espera, sino que está profundamente arraigada en todos los aspectos del desarrollo de productos.
Para crear productos y servicios digitales verdaderamente seguros (a los que nos referiremos como “productos” u “ofertas” en aras de la simplicidad), la ciberseguridad debe integrarse desde la etapa de diseño inicial. Si bien esto no es fácil, hacerlo puede mantener los costos bajo control y ayudar a las organizaciones a cumplir mejor las expectativas de los clientes. Sin embargo, con demasiada frecuencia la seguridad es una ocurrencia tardía, que se aborda solo después de que el producto ya ha sido diseñado.
En nuestra investigación sobre cómo las empresas construyen ofertas de ciberseguridad, encontramos que la ciberseguridad rara vez se considera entre los criterios en la fase de diseño inicial. La mayoría de los diseñadores se centran en asegurarse de que sus ofertas sean elegantes, comercializables, utilizables y con muchas funciones. La seguridad a menudo se “atornilla” después de que se completan los diseños iniciales, ya sea mediante procesos de desarrollo de seguridad que se ejecutan en paralelo al proceso de desarrollo del producto o por expertos en seguridad que trabajan como consultores del equipo de diseño. Este enfoque puede agregar costos, ya que generalmente implica el rediseño de un producto o la actualización de nuevas funciones, y si un problema no se puede solucionar, es posible que el diseño deba descartarse por completo.
Si su equipo ejecutivo no habla con regularidad sobre cómo crear ofertas digitales seguras y no está probando sus procesos con frecuencia, lo más probable es que sus productos tengan vulnerabilidades ocultas. El número de vulnerabilidades descubiertas dentro de la base de datos nacional de vulnerabilidades de los Estados Unidos aumenta anualmente; Solo en 2020 se informaron 18356 nuevas vulnerabilidades, y es probable que muchas más no se denunciaran.1
Los líderes de la empresa deben encontrar formas de cambiar las actitudes de los diseñadores sobre la construcción de la seguridad desde el diseño inicial, y eso se hace cuando los líderes piensan en la seguridad ellos mismos, hablan de ella con sus equipos y la convierten en un factor importante en el diseño del producto. Mecanismos de gestión como estos son los que cambian los valores, las actitudes y las creencias de los diseñadores y fomentan comportamientos que dan como resultado diseños iniciales más seguros.
Trabajando en estrecha colaboración con tres compañías globales grandes y conocidas en telecomunicaciones, controles industriales y automatización digital y energía, obtuvimos información sobre por qué la ciberseguridad rara vez se incorpora a las nuevas ofertas digitales, e identificamos las acciones que los ejecutivos pueden tomar para cambiar eso. Como parte de sus transformaciones digitales, las empresas que estudiamos están incorporando capacidades digitales en nuevos dispositivos como los que administran redes; controlar la calefacción, la ventilación y el aire acondicionado; o controlar el consumo de energía.
Pocos líderes negarán la importancia de la ciberseguridad para las ofertas digitales. Sin embargo, en la práctica, los equipos de productos tienden a no priorizar la ciberseguridad. Nuestro estudio reveló tres razones por las que esto sucede.
Primero, la ciberseguridad no contribuye directamente a los ingresos. La mayoría de los clientes toman una decisión de compra sobre la base de características que agregan valor, reducen costos o brindan otras ventajas que buscan. Tratan la ciberseguridad como los neumáticos de un automóvil: esperan que esté allí, pero están comprando el producto por sus otras características. Los gerentes de producto entienden esto. En una empresa, nos dijeron que la seguridad de su oferta es mucho menos importante que otras funciones, porque realmente no importa qué tan seguro sea el producto si no satisface las necesidades de los clientes.
En segundo lugar, la ciberseguridad, como se hace hoy, puede retrasar potencialmente el tiempo de comercialización. A menudo requiere recursos adicionales, como expertos o capacitación especializada, y puede llevar a cabo más tiempo realizando pruebas adicionales y volver a trabajar cuando se encuentren vulnerabilidades. Los gerentes de producto creen que si su producto pierde la oportunidad de mercado, los clientes encontrarán alternativas o sustitutos. Si eso sucede, las funciones de ciberseguridad del producto rápidamente se vuelven irrelevantes.
Finalmente, los diseñadores y gerentes generalmente subestiman cuán severas pueden ser las consecuencias de las vulnerabilidades de seguridad cibernética, al menos hasta que un incidente de seguridad los afecta. Un gerente justificó dar menor prioridad a las consideraciones de seguridad diciendo que el producto de la empresa no estaba conectado a nada significativo en los sistemas de los clientes, por lo que una infracción no causaría mucho daño. Cuando los gerentes se enteran de un incidente de ciberseguridad, comienzan a preguntarse si sus productos pueden tener la misma vulnerabilidad. Pero para entonces, podría ser demasiado tarde y es posible que la oferta ya esté en manos de los clientes.
Mientras los gerentes debaten los méritos de gastar recursos y tiempo en la ciberseguridad, las actitudes de los clientes hacia la ciberseguridad para las ofertas digitales están cambiando. Cada vez más, la ciberseguridad se está convirtiendo en un requisito de facto y, por lo tanto, en un punto de venta clave. Una vulnerabilidad de seguridad cibernética puede cerrar las operaciones de una empresa (como en el ataque de ransomware de mayo de 2021 en Colonial Pipeline en los EE. UU.), Lo que genera costos en cascada en todo el ecosistema. Puede dañar las marcas, afectar negativamente el precio de las acciones o crear una exposición legal para el fabricante que diseñó la oferta.2
Las organizaciones que estudiamos se estaban acercando a la ciberseguridad de las siguientes tres formas que creemos que son bastante típicas.
1. Atornillar las correcciones de seguridad. Algunos equipos de desarrollo no consideran específicamente la ciberseguridad hasta que se descubre una vulnerabilidad mediante pruebas después de que se completa el diseño. Luego, recurren a la ciberseguridad según sea necesario. Los tipos más comunes de pruebas en las que se descubrieron problemas de ciberseguridad fueron las pruebas de vulnerabilidad, las pruebas de penetración y las pruebas de control de calidad.
En este escenario, cuando se descubre una vulnerabilidad, se envía al equipo de diseño para que la solucione. En algunos casos, eso podría significar someterse a costosos rediseños o encontrar componentes diferentes pero más seguros. En nuestra investigación, los gerentes cuyas organizaciones utilizaron este enfoque tenían muchas excusas para explicar por qué se hizo de esa manera. En la mayoría de los casos, el liderazgo consideró que los diseñadores deberían centrarse en el diseño y que la ciberseguridad podría manejarse cuando surgiera algún problema. En un caso, un diseñador nos dijo que un producto llegó hasta la verificación final para su entrega a un cliente antes de que surgieran preocupaciones sobre ciberseguridad, y en más de un caso, un producto no se pudo rediseñar fácilmente para corregir la vulnerabilidad. Eso significaba cancelar la entrega del producto o devolverlo a la fase de diseño inicial y comenzar de nuevo. Ambas son opciones muy costosas.
2. Incorporación de procesos seguros del ciclo de vida del desarrollo. Otro enfoque que observamos fueron los procesos paralelos de revisión del diseño e inyección de pruebas y consideraciones de seguridad (los puntos de control de seguridad o puertas) en el diseño y los procesos de desarrollo posteriores. La organización que utilizó este enfoque tenía una serie de puntos de control donde se probó la ciberseguridad. El proceso de diseño del producto continuó a menos que el diseño no lograra pasar una de estas puertas, y en ese momento el equipo discutió cómo solucionar la vulnerabilidad. Una vez más, esto puede ser costoso, pero es mucho menos costoso que esperar hasta el final del proceso para ver si las funciones de seguridad deben incorporarse. Cuando hay procesos paralelos, hay pasos específicos que los diseñadores pueden tomar para garantizar que el diseño y los prototipos tengan la seguridad adecuada incorporada. Aún existe el riesgo de tener que desechar un diseño en una etapa inicial y comenzar de nuevo. Sin embargo, detectar la vulnerabilidad en una etapa anterior del proceso de diseño es menos costoso que encontrarla después de que el diseño ya se haya completado.
3. Incorporación de consultores de seguridad. Un tercer enfoque consiste en incorporar expertos en seguridad directamente al equipo de diseño para que trabajen con los diseñadores. En algunos de los equipos que estudiamos, se designó a un miembro para que se centrara en la ciberseguridad. El papel de esa persona era hacer preguntas importantes para asegurarse de que los diseñadores tuvieran en cuenta la seguridad en su trabajo. Si bien este enfoque lleva el diseño de seguridad al proceso antes que los otros dos enfoques, tiene fallas. En los equipos que estudiamos, este experto era un recurso compartido entre varios equipos de diseño. Es posible que alguien en tal función no esté completamente al día con el diseño actual, lo que requiere un trabajo adicional para completar las piezas faltantes. Y dado que el experto está asignado a varios equipos, es posible que no siempre estén disponibles cuando sea necesario, lo que provoca retrasos en el proceso. Un diseñador nos dijo que el consultor de su equipo, un experto en seguridad pero no un diseñador de productos, no entendía el producto al nivel necesario para ofrecer consejos de diseño útiles.
Diseño con ciberseguridad incorporada
La respuesta, entonces, es que los propios diseñadores tengan suficiente conocimiento de las necesidades de seguridad para construir ciberseguridad desde el principio. Necesitarán un conocimiento general de los principios de diseño seguro y un conocimiento específico sobre las consideraciones de seguridad para las ofertas que están creando. También deben creer que es importante incluir la seguridad desde la concepción de la idea y que es su trabajo asegurarse de que esto se haga. Cuando se cumplen esas condiciones, la ciberseguridad se convierte en uno de los criterios básicos de diseño, similar a la capacidad de fabricación, la usabilidad, la calidad, el costo y muchos otros elementos que forman parte de cualquier proceso de diseño.
En las empresas que estudiamos, los diseñadores con experiencia en seguridad informaron que tomaron decisiones sobre herramientas, bibliotecas y componentes para usar en los diseños de sus productos basándose en parte en su grado de seguridad. Estos equipos diseñan para la ciberseguridad con tanta naturalidad como lo hacen para otros criterios. En un caso, un equipo decidió no utilizar una biblioteca de código abierto debido a sus vulnerabilidades conocidas.
Los ejecutivos y gerentes nos dijeron que cada vez más quieren ver la ciberseguridad incorporada en el diseño de productos desde el principio. Para lograrlo, el primer paso que deben dar es priorizar genuinamente la ciberseguridad como un criterio de diseño importante. Si los líderes no demuestran que valoran la ciberseguridad al hablar de ella y priorizarla en sus decisiones de asignación de recursos, envían un mensaje claro, aunque subliminal, de que no es realmente importante. Los líderes también deben informarse sobre cómo se está incorporando la ciberseguridad en las ofertas de su organización. Si es por uno de los tres enfoques que vimos en nuestra investigación, deben asignar recursos para cambiar el proceso y mostrar a los diseñadores qué comportamientos se esperan de ellos. En una empresa, un diseñador dijo que sus gerentes no cumplieron con su prioridad declarada; los ejecutivos hablaron sobre ciberseguridad en las reuniones con los clientes, pero luego no invirtieron en ella. Esto hizo que el equipo se preguntara si realmente era una prioridad.
La diferencia fue notable en las empresas donde los ejecutivos cumplieron. “Todo el mundo tiene una mentalidad de ciberseguridad real”, dijo un desarrollador de una de esas empresas. “Está arraigado en la cultura en los niveles más altos de nuestra organización desde el primer día. Está en todas partes en todo lo que haces por aquí “.
Puede ser un proceso lento convertir una gran tienda de diseño en una tienda de diseño segura. Un diseñador explicó que “puede llevar tres años volverse muy bueno en la implementación de la ciberseguridad y estar muy familiarizado con lo que se debe hacer”. Pero eso solo sugiere que los líderes deben ser consistentes y perseverar en priorizar este objetivo.
Cambiar los valores, las actitudes y las creencias de los diseñadores sobre la seguridad
Los líderes de la empresa pueden decirles a sus equipos de diseño que quieren que construyan para la ciberseguridad, pero eso no sucederá a menos que se establezcan mecanismos de gestión adicionales para cambiar los valores, actitudes y creencias de los diseñadores. Nuestro modelo de construcción de una cultura de ciberseguridad proporciona cuatro pasos que los líderes pueden tomar para cambiar el comportamiento de sus equipos de desarrollo y llevarlos hacia una mentalidad de diseño para la ciberseguridad.3 Vimos ejemplos de estos mecanismos en los equipos que integraron la ciberseguridad.
1. Vincular las evaluaciones de desempeño con la ciberseguridad. Los equipos de desarrollo generalmente son recompensados por diseños elegantes de productos y velocidad de comercialización en lugar de diseños seguros, y esto envía el mensaje claro de que la seguridad no es la prioridad. Un gerente comentó que los diseñadores equipararon su desempeño con el envío rápido de productos en lugar de enviar mejores productos más tarde, incluso si eso significaba tener un producto devuelto para su reelaboración debido a una vulnerabilidad descubierta después de que se recibió la oferta.
Para impulsar un cambio en las actitudes de los diseñadores, las métricas de seguridad deben ser visibles para los líderes. Sin embargo, nuestra investigación mostró que la técnica más olvidada para fomentar los comportamientos de ciberseguridad deseados fue el proceso de evaluación formal. Criterios como incluir componentes de diseño de seguridad y controles de seguridad, crear diseños que pasen las puertas de prueba y colaborar con expertos en seguridad para garantizar que las ofertas sean lo más seguras posible desde la fase de diseño inicial deben formar parte de las evaluaciones de desempeño de las personas.
Más importante aún, los líderes deben estar listos para retrasar o rechazar el lanzamiento de ofertas digitales con ciberseguridad incorporada insuficiente y hacer que el equipo de desarrollo rinda cuentas. Esto dejará en claro que existen consecuencias por una seguridad insuficiente.
2. Convierta en héroes a los diseñadores que se involucran en comportamientos positivos de ciberseguridad. El reconocimiento puede ser un gran motivador para los empleados y, al igual que con la realización de evaluaciones de desempeño, los líderes a menudo no destacan los logros de quienes encuentran y solucionan problemas de ciberseguridad. Esto envía un mensaje muy claro pero no intencionado sobre lo que se valora en la organización.
Existen numerosas formas de recompensar y reconocer a los empleados que se toman en serio la ciberseguridad. Por ejemplo, un gerente que entrevistamos otorgó bonificaciones a los diseñadores que resolvieron un problema de seguridad complejo o impulsaron un proceso que incorporó la ciberseguridad a las ofertas de la empresa. En una conferencia anual de seguridad, la misma empresa reconoció formalmente a los miembros del equipo que eran firmes defensores y contribuyentes de la seguridad de sus ofertas. Otra empresa utilizó invitaciones para afiliarse a una red social de expertos corporativos como una forma de destacar a sus héroes de la ciberseguridad. El reconocimiento de la eficacia de la seguridad puede tomar la forma de algo tan simple como proporcionar una insignia de “campeón de ciberseguridad” que un empleado puede agregar a su firma de correo electrónico. Las recompensas y el reconocimiento pueden ser tan fáciles como agregar una insignia virtual a una firma de correo electrónico. Al hacerlo, los líderes envían un mensaje claro de que valoran los comportamientos de ciberseguridad y los reconocen públicamente.
3. Capacite a los diseñadores en seguridad además de utilizar expertos y redes de seguridad. Los diseñadores nos dijeron que no estaban enfocados en la ciberseguridad de sus diseños porque otros en la organización sabían más que ellos y detectarían cualquier problema más adelante en el proceso de desarrollo. Ésta no es una actitud que las empresas deban fomentar. Los diseñadores necesitan una formación básica sobre cómo diseñar para la ciberseguridad y se les debe recordar que es su responsabilidad. Los procesos de desarrollo ágil también deben incluir historias basadas en requisitos de ciberseguridad. Esto destaca la necesidad de ofertas seguras y proporciona una plataforma para evaluar si la ciberseguridad se incorporó desde el principio. Aún se necesitan redes de seguridad, actividades de prueba y expertos en procesos de ciclo de vida de desarrollo seguro para complementar los diseños de seguridad iniciales, pero los diseñadores deben tener suficiente conocimiento para hacer el primer paso. (Consulte “Lo que los diseñadores de productos deben saber sobre seguridad”).
4. Transmitir mensajes contundentes y frecuentes para aumentar la conciencia sobre las necesidades de ciberseguridad. Es posible que los diseñadores no se den cuenta de que su trabajo consiste en desarrollar ofertas seguras, rentables y elegantes. Esto puede sonar contradictorio para los gerentes que creen que han comunicado esta prioridad. Pero nuestra investigación muestra que el mensaje de seguridad puede perderse en la complejidad del diseño del producto y los muchos mensajes que escuchan los diseñadores.
Los líderes deben elaborar un plan de comunicación para reforzar constantemente la importancia de crear ofertas ciberseguras. Esto puede incluir facilitar discusiones breves o presentaciones en reuniones de equipo u organización, lanzar campañas divertidas y atractivas para hacer que el mensaje sea memorable o incluso utilizar técnicas de marketing tradicionales para cambiar corazones y mentes. La acción clave aquí es recordar continuamente a todos los involucrados en el proceso de desarrollo del producto lo importante que es la ciberseguridad para que internalicen esa creencia y alineen sus actitudes personales con la necesidad de desarrollar ofertas seguras. Un líder a quien le sugerimos esta acción comentó que nunca había pensado en expresar la importancia de la ciberseguridad en el diseño de productos porque asumió que su equipo ya lo sabía. Tras reflexionar, se dio cuenta de que no podía comunicar demasiado este mensaje.
Los productos digitales están creando nuevas fuentes de ingresos para muchas empresas, pero cada producto digital conlleva el riesgo de crear nuevas vulnerabilidades de ciberseguridad que deben abordarse. La inclusión del “diseño para la ciberseguridad” como criterio de diseño clave al comienzo del proceso comenzará a abordar este problema recordando a los diseñadores el valor y la importancia de las ofertas seguras. Demostrar que su marca ofrece productos seguros es cada vez más importante e incluso puede conferir una nueva ventaja competitiva.
La incorporación de la ciberseguridad en una etapa más temprana del proceso de diseño hace que todo el proceso de desarrollo del producto sea más eficaz. Evita el trabajo adicional, el aumento de los costos y las demoras causadas por las revisiones o pruebas de última hora, al tiempo que reduce las probabilidades de que surjan problemas de ciberseguridad más adelante. Y eso debería hacer que los líderes de la empresa, y sus clientes, duerman más profundamente por la noche.
REFERENCIAS (3)
1. La Base de Datos Nacional de Vulnerabilidad es parte del Laboratorio de Tecnología de la Información del Instituto Nacional de Estándares y Tecnología.
2. K. Huang y S. Madnick, “ A Cyberattack Doesn’t Have to Sink Your Stock Price ”, Harvard Business Review, 14 de agosto de 2020, https://hbr.org.
3. Para obtener una descripción completa del modelo de cultura de ciberseguridad de Huang y Pearlson, consulte K. Huang y K. Pearlson, ” Por lo que la tecnología no puede arreglar: Construcción de un modelo de cultura de ciberseguridad organizacional “, archivo PDF en “Proceedings of the 52nd Conferencia internacional de Hawái sobre ciencias de sistemas ”(Honolulu: Universidad de Hawái, 2019), 6398-6407.
Fecha original de publicación: 17 Nov. 2021