{"id":8471,"date":"2018-02-15T16:20:50","date_gmt":"2018-02-15T15:20:50","guid":{"rendered":"http:\/\/marketingpgr.com\/mtp\/?p=8471"},"modified":"2018-02-15T16:20:50","modified_gmt":"2018-02-15T15:20:50","slug":"paso-para-cumplir-con-la-gdpr-desarrolla-software-seguro","status":"publish","type":"post","link":"https:\/\/mtp.global\/es\/blog\/archivo\/paso-para-cumplir-con-la-gdpr-desarrolla-software-seguro\/","title":{"rendered":"1\u00ba paso para cumplir con la GDPR: desarrolla software seguro"},"content":{"rendered":"

La entrada en vigor de la nueva regulaci\u00f3n europea de Protecci\u00f3n de Datos<\/a>, GDPR, va a suponer un antes y un despu\u00e9s en la forma en la que las empresas han venido entendiendo los aspectos relacionados con su seguridad. Esta norma va mucho m\u00e1s all\u00e1 de marcar unos par\u00e1metros de protecci\u00f3n de la informaci\u00f3n que manejan empresas y organismos para llevar a cabo su actividad, sino que supone la aparici\u00f3n de un verdadero espacio com\u00fan europeo de ciberseguridad.<\/p>\n

As\u00ed, la GDPR<\/strong> viene a poner orden en un escenario en el que cada organizaci\u00f3n actuaba de acuerdo a sus intereses, recursos o conocimientos. A partir del pr\u00f3ximo 25 de mayo esto ya no vale. Ahora, las empresas tendr\u00e1n que poner a la seguridad en lo m\u00e1s alto de sus prioridades, alcanzando un nivel m\u00ednimo com\u00fan para todas ellas.<\/p>\n

Como consecuencia de la GDPR<\/strong>, las empresas tienen que evaluar el riesgo de ciberseguridad<\/a><\/strong> para poder protegerse convenientemente de unas amenazas cada vez m\u00e1s numerosas y sofisticadas. Lo que no dice la norma es lo que cada organizaci\u00f3n debe hacer para conseguir cumplirla. Es as\u00ed c\u00f3mo llegan la incertidumbre y \u00a0la confusi\u00f3n a una multitud de compa\u00f1\u00edas y organismos que no disponen de los conocimientos y el criterio necesarios para tener la certeza de si las medidas que est\u00e1n tomando son adecuadas, y que se sienten perdidas ante la gran variedad de propuestas de prevenci\u00f3n de vulnerabilidades<\/strong><\/a> que encuentran en el mercado.<\/p>\n

Ante este panorama, no debe cundir el p\u00e1nico. Como casi siempre en esta vida, lo m\u00e1s conveniente suele ser empezar por el principio.<\/p>\n

C\u00f3mo hacer\u00a0 las cosas bien desde el principio<\/strong><\/h2>\n

Seg\u00fan datos del National Institute for Standard and Technology (NIST), el 92% de las vulnerabilidades est\u00e1n en el software. Seg\u00fan SAP, el 84% de los ciberataques se centran en la capa de aplicaci\u00f3n. Seg\u00fan BlackDuck, el 67% de las aplicaciones contienen vulnerabilidades de c\u00f3digo abierto\u2026 Estos son solo algunos datos que podemos encontrar haciendo una sencilla b\u00fasqueda en Internet. La b\u00fasqueda puede ser todo lo exhaustiva que queramos, pero siempre va a apuntar en la misma direcci\u00f3n: nuestros negocios dependen cada vez m\u00e1s de las aplicaciones; las aplicaciones se han convertido en la puerta de entrada preferida de los hackers; como consecuencia, deber\u00edamos centrarnos en desarrollar aplicaciones seguras. Ese puede ser un buen punto de partida.<\/p>\n

Por lo tanto, a la hora de plantearnos cumplir con la GDPR y de garantizar la seguridad de la organizaci\u00f3n, el primer factor que deber\u00edamos afrontar es saber si estamos construyendo un software seguro, pero \u00bfC\u00f3mo se hace esto?<\/p>\n

Al abordar el desarrollo de nuestras tecnolog\u00edas, ya sea internamente o encarg\u00e1ndole el trabajo a un proveedor externo, es necesario que el factor seguridad se tenga en cuenta desde las primeras fases del proceso, desde el establecimiento de los requisitos<\/a>. No solo ocup\u00e1ndonos de definir correctamente los requisitos funcionales, es decir, lo que tiene que hacer la aplicaci\u00f3n, sino definiendo tambi\u00e9n los requisitos de seguridad.<\/p>\n

A partir de este momento, si se quieren hacer las cosas bien para cumplir con la GDPR, el factor seguridad deber\u00e1 tenerse en cuenta en cada una de las fases de desarrollo de las aplicaciones, identificando y corrigiendo vulnerabilidades de forma continua y a lo largo de todo el proceso de producci\u00f3n del software. Ya no vale desarrollar primero la aplicaci\u00f3n y luego probarla.<\/p>\n

Lo mejor para poder garantizar la seguridad integral de las aplicaciones, que es tanto como garantizar la seguridad del negocio, es implantar un Ciclo de Vida de Desarrollo Software Seguro (SSDLC<\/strong> \u2013 Secure SW Developpment Life Cycle), empleando herramientas eficaces de prevenci\u00f3n de vulnerabilidades<\/strong> a lo largo de todo el proceso de desarrollo de la aplicaci\u00f3n que ayuden a los equipos de desarrollo y seguridad a identificar y mitigar vulnerabilidades asociados al c\u00f3digo abierto de todo el portfolio de aplicaciones de la organizaci\u00f3n.<\/p>\n

Ciclo de Vida de Desarrollo Software Seguro<\/strong><\/h2>\n

A la hora de producir software seguro, es conveniente que cada organizaci\u00f3n aborde la implantaci\u00f3n de un Ciclo de Vida de Desarrollo Software Seguro (SSDLC)<\/em><\/strong><\/a>, que ayudar\u00e1 a la prevenci\u00f3n de vulnerabilidades<\/strong>, identific\u00e1ndolas y corrigi\u00e9ndolas a medida que se vaya especificando, dise\u00f1ando y programando la aplicaci\u00f3n.<\/p>\n

As\u00ed conseguiremos un software mucho m\u00e1s seguro que si solamente se aplican pruebas de seguridad<\/a> (penetration testing) al final del ciclo de desarrollo. Adem\u00e1s de ayudarnos con el cumplimento de la GPDR, esta aproximaci\u00f3n permite alcanzar una serie de beneficios, como es la reducci\u00f3n dr\u00e1stica de costes de desarrollo y mantenimiento.<\/p>\n

En un Soporte Seguro al Ciclo de Vida de Desarrollo Software<\/strong> est\u00e1ndar se tienen en cuenta:<\/p>\n