Tres formas en que las empresas están trabajando en seguridad por diseño



Los ejecutivos de las principales organizaciones financieras y otras empresas comparten sus conocimientos sobre la creación de una cultura de seguridad.

A medida que los profesionales de la ciberseguridad buscan reforzar la cultura de seguridad en toda la empresa, el concepto de seguridad por diseño ha cobrado importancia.

Tiene varias interpretaciones: integrar los fundamentos de seguridad en los requisitos de desarrollo, crear características de seguridad menos molestas para la conveniencia de los clientes, mejorar la usabilidad de las herramientas de seguridad dentro de las organizaciones de TI o todo lo anterior. Pero la seguridad por diseño está a la vanguardia del papel de la seguridad en la transformación digital.

Para dar inicio al Mes de la Concientización sobre la Ciberseguridad, la Alianza Nacional de Seguridad Cibernética realizó ayer una Cumbre de ciberseguridad 2020 que contó con luminarias de varias organizaciones, incluidas NIST, Bank of The us y Nasdaq. El gran tema del día fue cómo la seguridad por diseño puede ayudar a implementar una seguridad más utilizable para los clientes, los usuarios internos, los tecnólogos y el personal de seguridad.

Esto es lo que los oradores compartieron sobre cómo las empresas hoy en día trabajan en la seguridad por diseño:

Creación de program utilizable de forma segura

Uno de los aspectos más destacados de la cumbre fue una sesión dirigida por Hari Gopalkrishnan, el ejecutivo de tecnología de plataformas orientadas al cliente de Financial institution of America, quien discutió el desarrollo de la asistente financiera virtual de la firma, Erica. Erica, una plataforma impulsada por inteligencia artificial, se desarrolló desde el principio con la seguridad por parte de los directores de diseño como una parte basic de los requisitos de éxito.

«Uno de los principios clave antes de llegar a algo funcional period el hecho de que tenía que ser seguro por diseño porque para nosotros la seguridad y la privacidad son lo que está en juego», explicó Gopalkrishnan.

Una parte obvia de eso fue integrar la seguridad en el ciclo de vida del diseño, garantizar que los flujos de datos sean seguros, la autenticación sea adecuada, etcetera. Además, las mejores prácticas de AppSec, como el escaneo de código y las pruebas de seguridad del application implementado, siguen siendo una prioridad. Otras partes menos obvias del espíritu de seguridad por diseño que ha impulsado el desarrollo de Erica también incluyeron examinar el modelado de IA en busca de posibles sesgos, así como crear opciones sólidas para que los clientes opten por participar o no de las opciones que afectan la privacidad en torno a aspectos como la geolocalización y el uso de datos.

Esto es enorme en una period en la que se utiliza información electronic para la personalización y los servicios personalizados.

«Algunos podrían discutir mucho, guau, ¿no sería maravilloso si pudieras usar todos los datos disponibles para ti y cuando puedas crear un momento más grande para un cliente, si lo hicieras, y la respuesta? es quizás, pero no podemos hacer eso «, dijo Gopalkrishnan. «Y ese no es el papel que jugamos. Cuando pensamos en la responsabilidad en el desarrollo de program y la responsabilidad como banco para entregar a nuestros clientes, todo debe ser transparente».

Haciendo que las funciones de seguridad sean sin fricciones

Fortalecer la funcionalidad de seguridad mientras se elimina la fricción de la experiencia del usuario es una gran parte de la seguridad por diseño. Si bien la transparencia de la seguridad es importante, el objetivo debe ser abstraer las acciones de seguridad de los usuarios cuando sea posible, dijo Roman Shapiro, director de seguridad de la información de Nasdaq.

«Sinceramente, creo que la industria se está poniendo al día un poco en este sentido, pero hemos aprendido a observar de cerca los patrones de uso, desde dónde inicia sesión, cómo inicia sesión, and many others. pasos sensatos entre bastidores para darle la seguridad que necesita de que la sesión que está estableciendo es una en la que tiene confianza «, dice Shapiro.

La autenticación multifactor es uno de los mayores puntos de fricción para los usuarios, acordó Steve Clark, director gerente y oficial de seguridad de la información de la unidad de negocios de Lender of America. Clark explicó que el análisis de IA de los patrones de usuario en aras de la autenticación y la autorización se volverá cada vez más frecuente para reducir la fricción en ese frente, tanto en las finanzas como en otras industrias.

Mejora de la usabilidad de los datos de seguridad

A medida que los equipos de seguridad monitorean la forma en que los usuarios interactúan con los activos y los datos de software a diario, la seguridad por diseño también será very important para configurar a los operadores de seguridad para el éxito. Esto significa que los equipos están pensando detenidamente en cómo los sistemas registran la actividad del usuario, qué datos se extraen de ellos y se ponen a disposición de los analistas de SOC, y cómo se contextualizan y enriquecen.

«Lo que es difícil de hacer es extraer la señal del ruido», explicó Brian Vecci, director de tecnología de campo de Varonis. «Los próximos años no necesariamente agregarán más información de registro o más información. Se harán dos cosas: crear perfiles más utilizables que combinen diferentes tipos de información, no solo registros, sino otros metadatos que tenemos sobre los usuarios. &#39datos, los dispositivos que se están utilizando, de dónde vienen las personas, los servicios que están usando, el acceso y la creación de perfiles realmente útiles sobre lo que es normal para identificar patrones de mala conducta «.

Ericka Chickowski se especializa en cobertura de tecnología de la información e innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor parte de una década y escribe regularmente sobre la industria de la seguridad como colaboradora de Dim Looking through. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique