Un ejecutivo que se siente muy identificado con este tema es Igor Bergman, VP de Software y Cloud del Centro del Advanced Innovation Center de Lenovo. Igor se unió a nosotros para una entrevista exclusiva, para compartir sus pensamientos sobre la importancia de la ciberseguridad, y cómo incorporar las prácticas de seguridad en todos los niveles de la organización.
¿Qué es lo que le quita el sueño en materia de seguridad y el panorama actual de las amenazas?
Sinceramente, el enorme alcance del panorama de las amenazas puede ser bastante desalentador. Cuando se crean soluciones para tecnologías emergentes, existen riesgos potenciales en todos los aspectos del producto: desde los componentes y el firmware que se incorporan a los dispositivos, muchos de los cuales proceden de terceros proveedores, hasta las aplicaciones que pueden ejecutarse en los ordenadores, tabletas y teléfonos de los usuarios, pasando por el backend de la nube con el que se comunican. Todos ellos son objetivos para los atacantes y, por lo tanto, presentan riesgos potenciales de seguridad para los clientes y sus datos. Cualquier infracción puede afectar a la reputación de Lenovo. Crear productos líderes en tecnologías emergentes no significará nada si nuestros clientes no pueden confiar en ellos.
¿Cómo cree que la seguridad se ha visto afectada por la pandemia de COVID-19 y qué medidas pueden tomar las organizaciones para protegerse a sí mismas y a sus clientes?
No hay duda de que el número de ciberataques aumentó durante la pandemia. Es posible que haya oído hablar de videoconferencias infiltradas porque no se habían establecido los controles de seguridad correctos. También se ha informado de infracciones en las que los empleados remotos fueron objeto de ataques porque el PC del empleado o el acceso remoto no estaban debidamente protegidos
El Phishing también es un problema continuo y creciente. Los empleados trabajan desde casa a todas horas en redes o PC que pueden no estar debidamente protegidos, lo que hace que el phishing sea un problema aún mayor durante la pandemia.
Para protegerse, las empresas deben asegurarse de que los principios de seguridad que aplican para el trabajo en la oficina se apliquen también a los empleados a distancia. Activar la autenticación multifactor es un paso importante para protegerse de los ataques de phishing. De hecho, Lenovo es miembro fundador de la FIDO Alliance, un grupo industrial dedicado a reducir la excesiva dependencia de las contraseñas en Internet. Al habilitar la autenticación multifactor, las empresas obtienen un mayor nivel de confianza en que las personas que acceden a sus sistemas y redes son realmente quienes dicen ser.
Como líder tecnológico, ¿qué opina sobre cómo los equipos pueden incorporar la seguridad al software desde el principio?
La formación es fundamental para incorporar la seguridad al software desde el principio, y no sólo para los profesionales de la seguridad. Todos los que participan en el desarrollo de un producto deberían recibir formación sobre seguridad para asegurarse de que entienden por qué es importante y cómo puede integrarse en todas las fases del proceso de desarrollo.
Empezando por el diseño, hacemos cosas como el modelado de amenazas, y luego integramos más prácticas recomendadas de seguridad a través del desarrollo y la publicación. Una vez que la seguridad forma parte de la cultura de los equipos de desarrollo, todo el mundo se beneficia. El equipo de producto tiene menos problemas de seguridad que tratar, el equipo de seguridad tiene más confianza en que el equipo de desarrollo está haciendo las cosas bien, y los clientes confían más en nuestras soluciones.
Una parte importante del éxito de un enfoque integral de la seguridad es la integración de la automatización en el proceso. Todo el mundo intenta hacer más con menos y la automatización de las herramientas de exploración de seguridad para las pruebas básicas reduce el tiempo que el equipo dedica a las exploraciones manuales.
Es fundamental presupuestar el tiempo y los recursos para la seguridad al inicio de cualquier proyecto. De este modo, se pueden evitar las sorpresas al final del proceso de desarrollo o, lo que es peor, cuando el producto ya está en manos de los clientes.
¿Cuáles son algunos de los escollos más comunes que ve cuando se trata de ciberseguridad, y cómo recomienda abordarlos?
Depender de un único o muy limitado conjunto de herramientas. Por ejemplo, tener un firewall activado no asegura automáticamente su servicio en la nube. Además, asumir que alojar una solución en AWS o Azure la hace automáticamente segura es un error común. Hemos visto noticias de muchas violaciones de datos que ocurren simplemente porque las empresas no configuraron o aseguraron adecuadamente los datos almacenados en la Nube.
La "defensa en profundidad", o la seguridad en varias capas, es importante. Para la seguridad en la nube, los procesos y controles deben cubrir muchos aspectos diferentes, desde las pruebas de pluma hasta las revisiones de código y la gestión de la configuración y la vulnerabilidad, por nombrar algunos, son todas partes importantes de un programa de seguridad completo.
¿De qué errores de seguridad ha aprendido durante su función en Lenovo?
Aunque hemos implementado la seguridad en todas las etapas de nuestros procesos de desarrollo y seguimos evolucionando y mejorando, ya no basta con decir a los clientes "confíen en nosotros". Los clientes son mucho más conscientes de la seguridad que nunca y hacen preguntas muy concretas y detalladas sobre nuestras prácticas y controles de seguridad. Trabajando juntos, nos mantenemos al tanto de las últimas amenazas y reforzamos continuamente nuestro programa de seguridad.
En conversaciones recientes, hemos hablado de la seguridad de los dispositivos activados por voz. ¿Podría compartir algunas de sus observaciones/aprendizajes en este ámbito? ¿Qué deben tener en cuenta los creadores de este tipo de tecnologías emergentes?
La privacidad es una consideración clave cuando se trata de capturar y procesar la información de voz. Queremos asegurarnos de que capturamos la información de voz en el momento adecuado, cuando los usuarios lo esperan, y de que cualquier procesamiento de la información de voz en la nube se realiza de forma segura.
Una vez más, tenemos que asegurarnos de que los clientes puedan confiar en nuestras soluciones y, con la gran cantidad de normativas de privacidad vigentes en todo el mundo, es importante asegurarse de que estamos manejando los datos de los clientes de forma segura.
Escucha más de Igor en este episodio de podcast en Pragmatism in practice.
Aviso legal: Las declaraciones y opiniones expresadas en este artículo son las del autor/a o autores y no reflejan necesariamente las posiciones de Thoughtworks.
