Cybersecurity and digital privacy

Llegan nuevas leyes sobre privacidad y seguridad de los datos. ¿Está preparada su empresa?

Astraed

5 min read

Los gobiernos están aprobando e implementando nuevas leyes para garantizar estándares más altos de seguridad del software y privacidad de los datos. Esto significa que la era en la que las empresas de tecnología prueban su software de manera inadecuada para detectar vulnerabilidades de seguridad y privacidad está llegando a su fin. Si bien estas nuevas leyes no llegarán rápidamente (las regulaciones se adaptan notoriamente lentamente a los nuevos desafíos tecnológicos), de hecho están en camino y las empresas de software y sus clientes corporativos están ansiosos por tomar medidas. Para empezar, deberían evaluar su nivel de seguridad no solo en términos de los parches que instalan o los incidentes a los que responden, sino también de los procesos continuos y laboriosos que dedican a prevenir las vulnerabilidades de privacidad y seguridad. Eso significa que una métrica central para proteger los datos empresariales pasará a ser hora: el tiempo dedicado a probar el software que las empresas crean y compran y el tiempo dedicado al mantenimiento de ese software una vez desplegado.

••• El 26 de marzo, Jonathan Leitschuh, un ingeniero veinteañero, envió un correo electrónico a Zoom para informar a la empresa sobre[un defecto que había descubierto en su software](https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5) — uno que permitía a actores malintencionados acceder secretamente a las cámaras de cualquiera que hubiera utilizado alguna vez el popular servicio de videoconferencias. Zoom tardó casi tres meses en resolver el problema. No dejar nada al azar, Apple [publicado](https://techcrunch.com/2019/07/10/apple-silent-update-zoom-app/) su propia actualización de software para solucionar el problema. Tres semanas después de que Leitschuh enviara un correo electrónico a Zoom por primera vez, la empresa salió a bolsa en[una de las OPI más exitosas](https://www.cnbc.com/2019/04/23/zoom-now-the-most-valuable-of-all-the-tech-companies-to-ipo-this-year.html) de 2019 hasta ahora. En otras palabras, al mismo tiempo que el mercado coronaba a Zoom con premios financieros, un joven ingeniero de software descubrió una vulnerabilidad que ponía en peligro la privacidad y la seguridad de casi todos sus usuarios. ¿Cómo podrían existir estas dos realidades a la vez? La respuesta: las empresas no están preparadas para vender software seguro porque no se les incentiva a hacerlo y los consumidores por sí solos no están en condiciones de exigirlo. Pero este fallo del mercado no durará mucho. Los gobiernos están aprobando e implementando nuevas leyes para garantizar estándares más altos de seguridad del software y privacidad de los datos, lo que significa que la era en la que las empresas de tecnología prueban su software de manera inadecuada para detectar vulnerabilidades de seguridad y privacidad está llegando a su fin. A finales del año pasado, por ejemplo, California pasó a ser[el primer estado de los Estados Unidos en promulgar](https://www.theverge.com/2018/9/28/17874768/california-iot-smart-device-cybersecurity-bill-sb-327-signed-law) estándares básicos para el software utilizado en el Internet de las cosas. Una larga lista de propuestas de legislación sobre[privacidad](http://www.ncsl.org/research/telecommunications-and-information-technology/consumer-data-privacy.aspx) y[seguridad](http://www.ncsl.org/research/telecommunications-and-information-technology/cybersecurity-legislation-2018.aspx) a nivel estatal, junto con una serie de propuestas en el[federal](https://www.brookings.edu/research/breaking-down-proposals-for-privacy-legislation-how-do-they-regulate/) nivel, aumentaría las sanciones por los daños causados por errores de privacidad o seguridad. Se están realizando esfuerzos similares en todo el mundo, desde[India](https://thelawreviews.co.uk/edition/the-privacy-data-protection-and-cybersecurity-law-review-edition-5/1175632/india) a[Brasil](https://iapp.org/news/a/the-new-brazilian-general-data-protection-law-a-detailed-analysis/) y en otros lugares. Si bien estas nuevas leyes no llegarán rápidamente (las regulaciones se adaptan notoriamente lentamente a los nuevos desafíos tecnológicos), de hecho están en camino y las empresas de software y sus clientes corporativos están ansiosos por tomar medidas. Para empezar, deberían evaluar su nivel de seguridad no solo en términos de los parches que instalan o los incidentes a los que responden, sino también de los procesos continuos y laboriosos que dedican a prevenir las vulnerabilidades de privacidad y seguridad. Eso significa que una métrica central para proteger los datos empresariales pasará a ser _hora_: el tiempo dedicado a probar el software que las empresas crean y compran y el tiempo dedicado al mantenimiento de ese software una vez desplegado. Esto marcaría un cambio drástico con respecto a las prácticas tan comunes: dejar que los equipos de control de calidad con pocos recursos descubran los defectos y subcontratar las pruebas a[en gran medida ineficaz](https://www.cpomagazine.com/cyber-security/the-romance-of-bug-bounties/) programas de recompensas por errores. Este nuevo enfoque es, en cierto sentido, la consecuencia inevitable de nuestra adopción generalizada de las tecnologías digitales: cuanto más tiempo dediquemos a utilizar sistemas basados en software, más esfuerzos haremos colectivamente para garantizar que estos sistemas son seguros. Eso se traducirá en que más personal de privacidad y seguridad dedique más tiempo y recursos a proteger todo el software que utilizamos. Las empresas que crean e implementan software pueden prepararse mediante la adopción de dos estrategias. En primer lugar, deben centrarse en integrar los procesos de seguridad en el ciclo de vida del diseño y la implementación del software lo antes posible y con la mayor frecuencia posible. Hay varios métodos existentes en los que pueden basarse para hacerlo. Los vendedores de software pueden recurrir a ejemplos como el llamado movimiento DevSecOps, primo del más conocido DevOps, que[insertos](https://www.zdnet.com/article/devsecops-what-it-is-and-how-it-can-help-you-innovate-in-cybersecurity/) personal de seguridad directamente en el curso continuo de desarrollo y operaciones (de ahí el nombre). Las empresas que compren software pueden rastrear continuamente su superficie de ataque y asegurarse de que el personal, como los «equipos rojos», que simulan a los atacantes, investigue activamente sus redes y supervise su postura de seguridad. Independientemente del método que elijan, las empresas tendrán que demostrar que los controles de seguridad y privacidad no son una idea tardía, sino que son un requisito fundamental en sí mismos. Como resultado, las empresas deberán hacer un seguimiento cuidadoso del tiempo y los recursos que dedican a probar y proteger todo el software que crean o administran. En segundo lugar, las empresas también tendrán que conectar los recursos que dedican a la privacidad y la seguridad con el volumen y la complejidad del código que buscan proteger. A medida que aumente el número de líneas de código de un sistema de software determinado o a medida que aumente su base de usuarios, las organizaciones deberán aumentar sus esfuerzos para proteger también la privacidad y la seguridad de sus usuarios. Vincular la intensidad de los programas de protección de datos al volumen y la complejidad de las necesidades de seguridad subyacentes es precisamente lo que exigen las leyes promulgadas y propuestas, muchas de las cuales, incluida la[Ley de protección de datos](https://www.legislature.ohio.gov/legislation/legislation-documents?id=GA132-SB-220) en Ohio y[una propuesta de ley](https://www.njleg.state.nj.us/2018/Bills/A2000/1766_I1.HTM) en Nueva Jersey: exija programas de protección de datos concretos, basados en la evidencia y adaptables. Este enfoque se alinea con un amplio conjunto de investigaciones que relacionan la probabilidad de defectos de software con la complejidad y el volumen del código. Este tipo de respuesta regulatoria no debería sorprender tanto a la industria del software. Tras importantes brechas de seguridad, por ejemplo, los reguladores _ya_ forzar este enfoque a algunos de los vendedores que más infringen, ya que requieren una gran cantidad de mano de obra de auditoría, pruebas y revisión. Esto lo demostró el[acuerdo](https://www.ftc.gov/system/files/documents/cases/dlink_proposed_order_and_judgment_7-2-19.pdf) que el gigante mundial de las redes D-Link contactó a principios de julio con la Comisión Federal de Comercio, en la que la primera acordó un «programa de seguridad de software» orientado a los procesos y con muchas auditorías que durará 20 años. El reciente acuerdo entre Facebook y la FTC, que exige una enorme[nuevo programa de supervisión de la privacidad](https://www.ftc.gov/news-events/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions), es otro ejemplo de este enfoque. Pronto, la sola idea de dejar las pruebas de seguridad en manos de los Jonathan Leitschuhs del mundo pasará a ser algo más que una carga de relaciones públicas; también se convertirá en una grave vulnerabilidad legal.

Read more