Cómo construir una cultura de seguridad

5 formas en que las empresas en crecimiento pueden incorporar la seguridad en su cultura y productos

Decidir por dónde empezar cuando se trata de seguridad puede ser un desafío para las empresas en crecimiento.

Para ayudar a aliviar el dolor, la Comisión Federal de Comercio organizó a principios de este mes una conferencia enfocada en brindar a las nuevas empresas consejos prácticos y estrategias para implementar una seguridad de datos efectiva (¡estuvimos allí!). La conferencia reunió a expertos de la industria, incluidos ingenieros de software, académicos y abogados (sin mencionar una sesión sobre la presentación de un caso comercial para la seguridad, con la directora de privacidad de TUNE, Saira Nayak )

Comience con la seguridad nos enseñó que, si bien nada puede reemplazar realmente un programa de seguridad desarrollado profesionalmente que esté ajustado con precisión a los riesgos que enfrenta su empresa, hay muchos recursos gratuitos o de bajo costo disponibles para ayudarlo a comenzar a desarrollar un programa de seguridad ahora, en una manera que también involucra a sus empleados para ayudarlo a reducir los riesgos del acceso no autorizado o la violación de sus valiosos datos corporativos y de clientes.

Como alguien que pasó los últimos 10 años diseñando productos con empresas que varían en tamaño, desde nuevas empresas hasta empresas, encontré que el contenido y los recursos ofrecidos en este evento son muy relevantes. Estos son algunos de mis puntos favoritos para las empresas que necesitan comenzar a incorporar la seguridad en su cultura y productos.

Comience con la seguridad

¿Qué sucede si no tiene el presupuesto para contratar una consultoría de seguridad para analizar sus sistemas y lugar de trabajo para evaluar y mitigar la seguridad y otros riesgos? ¡Que lo perfecto no sea enemigo de lo bueno!

Hay muchos recursos gratuitos disponibles para ayudarlo a crear un programa de seguridad. Comience con la FTC, que ha publicado varios recursos gratuitos, incluido un suplemento de este evento, Comience con la seguridad, una guía para empresas . Proporciona un buen comienzo para ayudarlo a comenzar a pensar en los problemas de seguridad que son específicos de su negocio.

Integre la seguridad en su canalización

Un excelente recurso, probado y gratuito para llevar la seguridad a su proceso y canal de desarrollo es el marco del ciclo de vida de desarrollo de seguridad de Microsoft, que ha sido adoptado por empresas de todos los tamaños y etapas de crecimiento para mejorar la seguridad y la privacidad de sus aplicaciones.

Junto con el marco de trabajo de SDL, Microsoft ofrece la herramienta de modelado de amenazas de SDL que pueden usar los desarrolladores o arquitectos de software para identificar y mitigar posibles problemas de seguridad en una etapa más temprana del proceso, cuando es más rentable resolverlos.

Mejore la seguridad del software

El Proyecto de Seguridad de Aplicaciones Web Abiertas es una organización mundial sin fines de lucro enfocada en mejorar la seguridad del software; OWASP Top 10, que destaca las 10 principales fallas de seguridad de las aplicaciones, puede proporcionar una evaluación rápida de dónde se comparan sus prácticas con un estándar de la industria. El OWASP 10 incluye descripciones de cada riesgo, junto con ejemplos de vulnerabilidades y ataques, orientación sobre cómo evitar estos riesgos de seguridad y referencias a recursos relacionados. Incluso hay un juego de cartas Cornucopia para ayudarlo a probar su conocimiento.

Abordar el OWASP Top 10 en su organización puede contribuir en gran medida a mitigar las vulnerabilidades con mayor probabilidad de afectar su aplicación. OWASP alberga capítulos locales en muchas regiones del mundo, lo que también puede brindar oportunidades para que su personal de ingeniería enseñe, aprenda e inspire a otros en su comunidad.

Capacite a sus ingenieros

Para un conjunto más estructurado de herramientas de capacitación en ingeniería de seguridad, SAFECode ofrece una opción fantástica, una organización global sin fines de lucro líder en la industria que se dedica a identificar y promover las mejores prácticas para brindar software, hardware y servicios seguros y confiables. Ofrecen cursos gratuitos de capacitación en seguridad de software a través de webcasts a pedido y publican un marco para establecer un programa de capacitación en ingeniería de seguridad corporativa que se puede utilizar como complemento de una iniciativa formal de capacitación en ingeniería.

Todos los cursos de SAFECode son gratuitos y se publican bajo una licencia Creative Commons, lo que significa que puede integrar estos cursos en su marco de capacitación existente, siempre que atribuya correctamente la fuente.

Haga que la seguridad sea divertida

Al incorporar la seguridad en su cultura, es importante presentar los riesgos de seguridad y las mejores prácticas de una manera accesible y atractiva. Usar los juegos como una herramienta en su programa de seguridad es una excelente manera de hacer que la capacitación en seguridad sea divertida y accesible y de incorporar la seguridad en su cultura de una manera no amenazante. Una forma de gamificar la seguridad es incentivar y recompensar a los empleados que adoptan las mejores prácticas. Estos incentivos pueden integrarse en capacitaciones para abordar los riesgos de seguridad, como el acceso físico, la ingeniería social y las vulnerabilidades de la pila de software y tecnología.

El juego de cartas Elevation of Privilege de Microsoft es una manera fácil de familiarizar a los equipos de ingeniería con el modelado de amenazas, un componente central de Microsoft SDL y programas y marcos de seguridad similares. EoP presenta a los ingenieros las categorías de amenazas de STRIDE (suplantación de identidad, manipulación, repudio, divulgación de información, denegación de servicio y elevación de privilegios). Este juego fue desarrollado por Microsoft y publicado bajo una licencia creative commons. Está disponible para su descarga o compra gratuita .

Mida su progreso

Una vez que haya abordado la capacitación y el proceso en su organización, otra oportunidad para incorporar seguridad en sus productos es a través de herramientas de análisis estático y dinámico. Su elección de herramientas dependerá en gran medida de la pila de tecnología que esté utilizando, pero hay muchas herramientas gratuitas de código abierto disponibles que le permiten realizar análisis en su base de código para verificar que las técnicas de seguridad se hayan implementado correctamente. Tales herramientas de análisis no son una panacea, pero brindan una capa adicional de protección en su programa de seguridad.

Conclusión: haga de la seguridad una prioridad

Ya sea que esté tratando de capturar la confianza y el negocio de clientes más grandes o tratando de prepararse para una salida, crear una cultura de seguridad es un activo que debe ser una parte central de su estrategia comercial y de crecimiento a largo plazo. Hacer que alguien sea responsable de la seguridad y construir una organización que se centre en la seguridad y el gobierno de datos es clave.

Ganar negocios empresariales a menudo significa proporcionar a sus clientes que tiene las prácticas de seguridad correctas (y verificarlo a través de auditorías y cuestionarios de seguridad detallados). Tener la seguridad integrada en su canal de desarrollo desde el principio hace que este proceso de auditoría e investigación sea mucho más fácil.

A medida que su empresa madura y la adquisición entra en escena, tener un programa de seguridad sólido lo ayudará a navegar el proceso de diligencia y lo hará más atractivo para los inversores. Otra razón para comenzar con la seguridad ahora, no más tarde. Estará haciendo el trabajo que necesita para evitar la posibilidad de que ocurra algo catastrófico, como una violación de datos. Y, por supuesto, todos sabemos que en este mundo de infracciones bancarias y minoristas, los clientes prefieren organizaciones que tengan prácticas sólidas de seguridad.

Aprenda todo sobre los datos y la privacidad de TUNE , incluido el compromiso de datos de TUNE. ¿Te gusta este artículo? Regístrese para recibir los correos electrónicos de resumen de nuestro blog.