Están llegando nuevas leyes sobre privacidad y seguridad de datos. ¿Está lista su empresa?

Las consecuencias de la seguridad débil están a punto de ir más allá de la mala pr.
Están llegando nuevas leyes sobre privacidad y seguridad de datos. ¿Está lista su empresa?
Resumen.

Los gobiernos están aprobando e implementando nuevas leyes para garantizar normas más estrictas en materia de seguridad de software y privacidad de datos. Esto significa que la era en la que las empresas tecnológicas prueban inadecuadamente su software para detectar vulnerabilidades de seguridad y privacidad está llegando a su fin. Aunque estas nuevas leyes no serán rápidas en llegar —las regulaciones son notoriamente lentas para adaptarse a los nuevos desafíos tecnológicos—, de hecho están en camino, y las empresas de software y sus clientes corporativos no deberían esperar a tomar medidas. Para empezar, deben medir su nivel de seguridad no solo en términos de los parches que instalan o los incidentes a los que responden, sino también en los procesos continuos que requieren mucha mano de obra que dedican a prevenir vulnerabilidades de privacidad y seguridad. Esto significa que una métrica central en la protección de los datos empresariales se convertirá en tiempo: el tiempo dedicado a probar el software que las empresas crean y adquieren, y el tiempo dedicado a mantener ese software una vez implementado.


El 26 de marzo, Jonathan Leitschuh, un ingeniero de 20 años, envió un correo electrónico a Zoom para informarle a la compañía sobre un defecto que había descubierto en su software , que permitía a los actores maliciosos acceder secretamente a las cámaras de cualquiera que hubiera utilizado el popular servicio de videoconferencia. Zoom tardó casi tres meses en resolver el problema. No dejar nada al azar, Apple liberado su propia actualización de software para remediar el problema.

Tres semanas después de que Leitschuh enviara por correo electrónico por primera vez a Zoom, la compañía se hizo pública en una de las OPI más exitosas de 2019 hasta ahora. En otras palabras, al mismo tiempo que el mercado coronaba a Zoom con elogios financieros, un joven ingeniero de software estaba descubriendo una vulnerabilidad que ponía en peligro la privacidad y seguridad de casi todos sus usuarios.

¿Cómo podrían existir estas dos realidades a la vez? La respuesta: Las empresas no están equipadas para vender software seguro, porque no están incentivadas para hacerlo, y los consumidores por sí solos no están en condiciones de exigirlo.

Pero esta falla del mercado no durará mucho. Los gobiernos están aprobando e implementando nuevas leyes para garantizar estándares más altos de seguridad de software y privacidad de datos, lo que significa que está llegando a su fin la era en la que las empresas tecnológicas prueban inadecuadamente su software para detectar vulnerabilidades de seguridad y privacidad. A finales del año pasado, por ejemplo, California se convirtió el primer estado de Estados Unidos en promulgar estándares básicos para el software utilizado en el internet de las cosas. Una lista de lavandería de la legislación propuesta sobre privacidad y seguridad a nivel estatal, junto con una serie de propuestas en el federal , aumentaría las sanciones por los daños causados por fallas de privacidad o seguridad. Se están realizando esfuerzos similares en todo el mundo, desde India a Brasil y en otros lugares.

Aunque estas nuevas leyes no serán rápidas en llegar —las regulaciones son notoriamente lentas para adaptarse a los nuevos desafíos tecnológicos—, de hecho están en camino, y las empresas de software y sus clientes corporativos no deberían esperar a tomar medidas. Para empezar, deben medir su nivel de seguridad no solo en términos de los parches que instalan o los incidentes a los que responden, sino también en los procesos continuos que requieren mucha mano de obra que dedican a prevenir vulnerabilidades de privacidad y seguridad. Esto significa que una métrica central en la protección de los datos empresariales se convertirá en tiempo: el tiempo dedicado a probar el software que las empresas crean y adquieren, y el tiempo dedicado a mantener ese software una vez implementado.

Esto marcaría un cambio dramático con respecto a las prácticas demasiado comunes: dejar a los equipos de aseguramiento de la calidad con recursos insuficientes descubrir fallas y subcontratar pruebas a en gran medida ineficaz programas de recompensas de errores.

Este nuevo enfoque es, en cierto sentido, la consecuencia inevitable de nuestra adopción generalizada de tecnologías digitales: Cuanto más tiempo pasemos utilizando sistemas basados en software, más esfuerzo requerimos colectivamente para garantizar que estos sistemas sean seguros. Esto se traducirá en que más personal de privacidad y seguridad gaste más tiempo y recursos asegurando todo el software que utilizamos.

Las empresas que crean e implementan software pueden prepararse adoptando dos estrategias.

En primer lugar, deben centrarse en incorporar los procesos de seguridad en el ciclo de vida de diseño e implementación de software tan pronto como sea posible. Hay una serie de métodos existentes en los que pueden recurrir para hacerlo. Los proveedores de software pueden buscar ejemplos como el llamado movimiento DevSeCops — un primo de los DevOps más ampliamente conocidos — que inserciones personal de seguridad directamente en el curso en curso de desarrollo y operaciones (de ahí el nombre). Las empresas que adquieren software pueden rastrear continuamente su superficie de ataque y asegurarse de que personal como «equipos rojos», que simulan atacantes, están investigando activamente sus redes y supervisando su postura de seguridad.

Independientemente del método que elijan, las empresas tendrán que demostrar que los controles de seguridad y privacidad no son simplemente una idea posterior, sino que son un requisito fundamental en sí mismos. Como resultado, las empresas tendrán que realizar un seguimiento cuidadoso del tiempo y los recursos dedicados a probar y asegurar todo el software que crean o administran.

En segundo lugar, las empresas también necesitarán conectar los recursos que gastan en privacidad y seguridad con el volumen y la complejidad del código que buscan proteger. A medida que el número de líneas de código en un sistema de software determinado crece, o a medida que su base de usuarios se expande, las organizaciones tendrán que intensificar sus esfuerzos para proteger la privacidad y seguridad de sus usuarios también.

La vinculación de la intensidad de los programas de protección de datos con el volumen y la complejidad de las necesidades de seguridad subyacentes es precisamente lo que están pidiendo las leyes promulgadas y propuestas, muchas de las cuales, incluida la Ley de Protección de Datos en Ohio y un proyecto de ley propuesto en Nueva Jersey – encomendar programas concretos, basados en pruebas y adaptativos de protección de datos. Este enfoque se alinea con un gran cuerpo de investigación que conecta la probabilidad de defectos de software con la complejidad y el volumen del código.

Este tipo de respuesta regulatoria no debería sorprender tanto a la industria del software. Después de importantes infracciones de seguridad, por ejemplo, los reguladores ya obligar a este enfoque a algunos de los proveedores más ofendidos, lo que requiere una auditoría, pruebas y revisión de gran densidad de mano de obra. Esto fue demostrado por el liquidación que el gigante mundial de redes D-Link llegó a principios de julio con la Comisión Federal de Comercio, en la que la primera acordó un «programa de seguridad de software» orientado al proceso y pesado de auditoría que durará 20 años. El reciente acuerdo entre Facebook y la FTC, que requiere una enorme nuevo programa de supervisión de la privacidad, es otro ejemplo de este enfoque.

Pronto, la idea misma de dejar las pruebas de seguridad a los Jonathan Leitschuhs del mundo se convertirá en algo más que una obligación de relaciones públicas; también se convertirá en una grave vulnerabilidad legal.


Escrito por
Andrew Burt



Related Posts
Gestión en la década de 1980

Gestión en la década de 1980

Durante la última década, una nueva tecnología ha comenzado a afianzarse en negocios estadounidenses, uno tan nuevo que su importancia es aún difícil de evaluar. Si bien muchos aspectos de esta tecnología son inciertos, parece claro que se moverá a la escena directiva rápidamente, con un impacto definitivo y de gran alcance en la organización administrativa. En […]
Leer más
Aproveche todo el potencial de beneficios de sus clientes

Aproveche todo el potencial de beneficios de sus clientes

Lograr el pleno potencial de ganancias de cada relación con el cliente debe ser el objetivo fundamental de cada negocio. La lógica es tan simple como lo que es convincente: las ganancias de las relaciones con los clientes son la sangre salvaje de todas las empresas. Y, en el nivel más básico, estas ganancias se pueden aumentar de solo tres maneras. El primero es [...]
Leer más
Aprendizaje de doble bucle en las organizaciones

Aprendizaje de doble bucle en las organizaciones

¿Por qué los empleados son reacios a informar al principio de que uno de los productos de su compañía es un "perdedor" y por qué los vicepresidentes de otra compañía no pueden revelar a su presidente la espectacular falta de éxito de una de las divisiones de la compañía? La incapacidad de descubrir errores y otras verdades desagradables surge de la organización [...] defectuosa.
Leer más
¿Por qué Agile se ve mal y cómo solucionarlo?

¿Por qué Agile se ve mal y cómo solucionarlo?

Con el espíritu de ser más adaptativas, las organizaciones se han apresurado a implementar el desarrollo de software ágil. Pero muchos lo han hecho de una manera que en realidad los hace menos ágiles. Estas empresas se han vuelto ágiles en nombre único, ya que el proceso que han puesto en marcha a menudo termina perjudicando la motivación y la productividad de la ingeniería.

Los procesos ágiles salen mal, porque a medida que las empresas se esfuerzan por lograr un alto rendimiento, se vuelven demasiado tácticos (centrándose demasiado en procesos y microgestión) o demasiado adaptativos (evitando objetivos a largo plazo, plazos o colaboración entre funciones). La clave es equilibrar el rendimiento táctico y adaptativo. Si usted es ingeniero o gerente de producto, aquí hay algunos cambios a considerar para encontrar este equilibrio: 1. El desarrollo de software debe ser un proceso de colaboración sin entrega. 2. La unidad de entrega del equipo debería ser experimentos mínimamente viables. El enfoque del equipo debe Centrado en los clientes. 4. Utilice cajas de tiempo para enfocar la experimentación y evitar el desperdicio. 5. El equipo debería organizarse para hacer hincapié en la colaboración. El equipo debe cuestionar constantemente su proceso.

Leer más

Newsletter

Avanza tu carrera profesional, con el resumen semanal de las publicaciones, un libro de negocio resumido en 10 minutos y entrevistas con líderes de negocio