No es un divorcio, pero necesitamos ambientes separados
El área de producción, el área de control de calidad y el área de desarrollo necesitan tomar conciencia en cuestiones de seguridad respecto a la separación tanto física, lógica y procedimiental sobre sus rescursos. Si bien es cierto, siempre se busca que un área de control de calidad tenga un ambiente preparado lo más similar a producción, pero qué tanto debe ser esto posible si necesitamos aplicar una política de privacidad de datos de nuestros clientes.
Replicación de incidencias
Generalmente el área de Help Desk recibe las incidencias de los sistemas en una organización para brindarles una ayuda inicial, en caso este se complique se debe pasar por el un filtro de depuración por motivo de contenido de data, ya que en muchas ocasiones la incidencia es tan puntual que se necesita trabajar con esa información de una base de datos en particular (en el caso de que se trabajen con demasiados clientes y cada uno por contrato tenga su respectiva base de datos). ¿Por qué sucede esto?, por ejemplo, suponiendo que el desarrollador realizó una lectura de base de datos a la tabla de clientes, y obtuvo sus columnas nombre y dni (que en la base de datos está como VARCHAR de logintud 8) y lo quiere cargar en una variable INTEGER. Al ser varchar puede aceptar caracteres o letras, y sin embargo por ahí en todo el ERP hay una opción de menú que su formulario no está controlando que sólo se ingrese digitos numéricos, por lo que en el DNI ingresan en vez de cero la letra O (considerando que están cerca en el teclado). Esto podrá registrarse con normalidad, sin embargo, regresando a la carga en una variable INTEGER, ésta provocará una excepción. Si la excepción no está bien detallada, puede provocar demasiada pérdida de tiempo en ubicar el error, ya que al probarla con otras bases de datos que han registrado correctamente DNIs no se podrá replicar.
Privacidad de los clientes
Ahora, la pregunta es la siguiente ¿Se puede pasar la data real al desarrollador? y éste pueda ver el DNI de la persona, nombre completo y demás datos. De hecho que juega mucho un papel importante la manera de gestión de incidencias, las excepciones que maneja el sistema, el área de control de calidad y de hecho las buenas prácticas de programación. Pero ¿Qué dice la ley 29733? la ley de protección de datos personales indica en su Artículo 5.- Principio de consentimiento que el titular debe autorizar el tratamiento de su datos personales. Es por ello que los sistemas web en su mayoría presentan una declaración jurada online o el clásico checkbox de Acepto términos y condiciones. En ello se debe especificar que sus datos personales se mantendrán como privados para la organización que los procese o público en caso así lo amerite el negocio. Pero debe especificarse. Además internamente en la organización, se debe cumplir el Artículo 17.- Confidencialidad de datos personales, el cual puede cumplirse mediante un Acuerdo de confidecialidad que debe firmar el trabajador para mantener el derecho de guardar el secreto profesional. En resumen, sí se le puede pasar la información tal cual a un desarrollador, pero, es mejor que esto sea en casos muy extremos y siempre se aplique un enmascaramiento a la data relevante, por ejemplo DNIs, RUCs Direcciones, Nombres completos y líneas de crédito.
Físicamente
Dependerá mucho de la disponibilidad de espacios físicos con las que cuenta el área de TI, pero una cosa debe quedar claro, es que se debe determinar qué información es sumamente crítico y cuales no entre DESARROLLO, QA y PRODUCCIÓN, como para que convivan en un mismo espacio físico y saber si es conveniente que compartan conversaciones, documentos en el escritorio, pantallas visibles, etc.
Consejo audit
En muchas ocasiones escucharemos decir "pásame el backup", "pásame tu clave", "ponle del uno al seis", "es el cliente tal", "el código está en la carpeta tal", y como uno se puede dar cuenta, el tema de seguridad está más enfocado en comportamiento humano que en temas técnicos, la cultura organizacional es un factor clave en la seguridad de la información. En audit tenemos nuestro de servicio de Concienciación en Seguridad de la Información que a través de diversas reuniones con su área de TI hablaremos de escenarios peligrosos y amenazas que se pueden presentar en su organización.