Se han dado cuenta que una de las áreas más seguras en un banco es el área de sistemas, y eso sin contar que dentro del área de sistemas existe el área de producción el cual debe tener alta restricción de acceso. Veamos que políticas de seguridad pueden ser aplicadas en nuestra área de desarrollo.

Controles físicos y lógicos

Desde la separación física de los ambientes de desarrollo y producción, cerraduras dactilares, etc. como controles físicos en un ambiente de desarrollo. Hay muchos trabajadores que necesitan plasmar ideas de software en una pizarra o dejar evidencia escrita en sus escritorios, es por ello que el acceso a dicha área necesita la más alta restricción. Tengamos en cuenta que en la actualidad un algoritmo de software equivale a las más valiosas fórmulas de productos que en épocas anteriores se manejaban. Pero bueno, si hablamos de evidencia física de un algoritmo estamos hablando de un 15% a 20% del contenido de un software, ya que todo el código fuente de un software está gestionado en bytes del disco duro de la PC o servidores de la organización, es por ello que se acude a gestores repositorios de código fuente, los cuales nos ayudan a evitar la confusión y caos generados por la combinación de funcionalidades desarrolladas, parches, cambios, etc.

Protegiendo los datos

Cuando el cliente reporta un error en el sistema, éste es reportado al área correspondiente, el área de tecnologías de la información, éste tiene que revisar qué pasó, y en muchas ocasiones, accede a una réplica de la data que ha generado el error para el cliente. Un analista de help desk, un desarrollador o un tester son los responsables de revisar el motivo de la incidencia reportada por el cliente, hasta aquí todo parece color rosa, sin embargo, en muchos países es aplicable la protección de datos personales de los clientes finales, donde sólamente el personal debidamente monitoreado tendrá acceso directo a datos sensibles de un cliente final, como por ejemplo, su dirección, compras realizadas, números de tarjetas de crédito, número de DNI, RUC, etc. Esta información debe estar encriptada para cuando llegue al analista de help desk, desarrollador o tester. Ellos no deben tener legible la información del cliente, salvo una autorización explícita por alguien de mayor jerarquía u con juicio en seguridad de la información.

Capacitación

Los profesionales jóvenes de TI ingresan al mercado de desarrollo con la experiencia brindada en su preparación, pero rara vez a su temprana edad tienen experiencia relacionada con incidencias de seguridad de la información, por lo que es necesario que un experto en temas relacionados en desarrollo seguro planifique capacitaciones constantes al personal de desarrollo, qa, producción y help desk. Muchas de estas capacitaciones estarán relacionadas con la Ciberseguridad y la parte técnica de seguridad de la información, como criptografía, gestión de accesos, desarrollo de gestión de nuevos protocolos y computación distribuidas (internet).

Consejo audit

La rama de desarrollo dentro de las tecnologías de la información es una rama muy preciada, muchos profesionales tienen como pasión crear software en base a los lenguajes de programación que ofrece el mercado, pero mientras más avanza el mundo en crear lenguajes de programación y madurar los ya existentes, nuevas tendencias de amenazas cibernéticas aparecen en el mundo, por lo que las técnicas de mitigación de riesgos ante amenazas deben mejorar por estos profesionales a la hora de crear software. En audit brindamos capacitación a las áreas de TI para mitigar poco a poco estas amenazas presentes.