Del Código a los Cubículos: Cómo las Mentalidades de Software Están Revolucionando Silenciosamente la Seguridad Empresarial

Cuando un actor de amenazas norcoreano logró pasar desapercibido en el proceso de contratación de una empresa reconocida, no fue un fallo de los cortafuegos ni del software antivirus, sino una falla en la forma en que las organizaciones piensan sobre el riesgo. A medida que los atacantes encuentran nuevas formas de explotar el lado humano de los negocios, la ciberseguridad está saliendo de la sala de servidores y llegando a cada rincón de la empresa, desde Recursos Humanos hasta la recepción. Pero, ¿puede la lógica rigurosa y paso a paso de la ingeniería de software ayudar a tapar estos huecos antes de que se conviertan en desastres?

El panorama de amenazas digitales está evolucionando tan rápido que incluso los centros de operaciones de seguridad (SOC) más sofisticados luchan por mantenerse al día. Pero según Mathew Everman, director de seguridad de la información en el Center for Internet Security, el verdadero campo de batalla ahora es toda la empresa. “El negocio no ha cambiado, pero tecnologías emergentes como la IA avanzan tan rápido, la implementación de cosas avanza tan rápido. Cosas para las que antes podíamos tener un enfoque reactivo puede que ya no sean lo mejor”, advierte Everman.

Aquí entra en juego el Ciclo de Vida del Desarrollo de Software (SDLC): un esquema metódico normalmente reservado para construir código, que ahora se reutiliza para reforzar desde la incorporación en RRHH hasta la selección de proveedores. Al descomponer procesos complejos en cinco fases claras - planificar, diseñar, desarrollar, desplegar y mantener - las organizaciones pueden incorporar el pensamiento de seguridad en cada paso, no solo al final.

El enfoque no es solo teórico. Cuando KnowBe4, una empresa de formación en ciberseguridad, contrató sin saberlo a un agente norcoreano, quedó en evidencia cómo los procesos tradicionales de RRHH pasan por alto puntos ciegos de seguridad. La solución de Everman: aplicar perfiles de amenazas a la contratación, monitorear la huella digital de los nuevos empleados y tratar la incorporación y salida con el mismo rigor que el lanzamiento de un nuevo software. “¿Qué tan peligroso es este puesto para mi organización si lo ocupo con la persona equivocada?”, se pregunta - una cuestión rara vez escuchada en RRHH, pero estándar en los círculos de seguridad.

La mentalidad SDLC también ayuda a evitar la “fricción” con otros departamentos. Al involucrar a los gestores de proyectos y tomadores de decisiones desde el principio y adaptar los pasos de seguridad a los flujos de trabajo existentes, los equipos de seguridad ahora son vistos como aliados, no como obstáculos. Everman señala que incluso los desarrolladores - históricamente en desacuerdo con la seguridad - están más dispuestos a colaborar cuando la seguridad se integra de forma fluida.

Las líneas entre los riesgos cibernéticos, de privacidad y reputacionales se están difuminando. Aprobar un nuevo proveedor o poner en producción una herramienta no probada puede tener consecuencias mucho más allá de TI. El mensaje es claro: en una era donde las amenazas tienen tantas probabilidades de entrar por la puerta principal como de hackear por la trasera, la seguridad debe ser tarea de todos - y comienza pensando como un ingeniero de software.

A medida que las organizaciones se apresuran a seguir el ritmo del cambio tecnológico, tomar prestada la disciplina y la previsión del desarrollo de software puede ser la clave para sobrevivir a la próxima ola de amenazas - sea cual sea su forma.

WIKICROOK

• Ciclo de Vida del Desarrollo de Software (SDLC): El SDLC es un proceso paso a paso para desarrollar, desplegar y mantener software, asegurando eficiencia, calidad y seguridad en cada fase del proyecto.
• Centro de Operaciones de Seguridad (SOC): Un Centro de Operaciones de Seguridad (SOC) es un equipo o instalación que monitorea, detecta y responde a amenazas de ciberseguridad 24/7 para proteger a una organización.
• Actor de Amenazas: Un actor de amenazas es cualquier persona, grupo o entidad responsable de lanzar o coordinar un ciberataque u otra actividad maliciosa en el ciberespacio.
• Onboarding/Offboarding: Onboarding/offboarding son procesos para otorgar o eliminar el acceso de empleados a sistemas, asegurando la seguridad y el cumplimiento durante todo el ciclo de vida del empleado.
• Perfilado de Amenazas: El perfilado de amenazas evalúa los riesgos vinculados a personas, roles o procesos para identificar vulnerabilidades, priorizar amenazas e implementar medidas de ciberseguridad efectivas.