Aprovechar las herramientas de automatización del cumplimiento para mitigar el riesgo
Hay muy pocas cosas en la vida que puedan emprenderse sin un cierto grado de preocupación, consternación o temor absoluto a un resultado o efecto indeseable. Por ejemplo, la actual pandemia de COVID-19 ha aumentado la aprensión en una serie de aspectos, desde actividades sencillas como salir a cenar hasta otras complejas como la gestión del software empresarial. Todo nuevo cambio conlleva un riesgo, pero siempre hay medidas que pueden aplicarse para mitigar o reducir los efectos o resultados negativos, y el mundo técnico no es una excepción.
En el entorno actual, impulsado por los datos, prácticamente todas las actividades empresariales se realizan directamente, se controlan o se supervisan mediante software. Para las empresas modernas, esto abarca desde la planta de fabricación o producción hasta los procesos de toma de decisiones de la C-Suite, que abarca todas las operaciones internas e incluso se extiende a las interacciones con los clientes. Esta dependencia del software conlleva riesgos. El mayor riesgo asociado a las operaciones digitales es la seguridad, seguida de cerca por la conformidad del software.
La seguridad y la conformidad no se excluyen mutuamente. De hecho, el cumplimiento del software puede ser una de las formas más eficaces de mitigar los riesgos. A continuación se presentan algunos métodos para utilizar herramientas de automatización del cumplimiento con el fin de lograr este objetivo, tras eliminar primero algunos de los escollos que pueden asociarse a la determinación de una estrategia de riesgo.
Eliminación de los riesgos de la conformidad del software
En el amplio mundo de los activos de software -que incluyen todas las aplicaciones y programas utilizados por una organización para llevar a cabo sus actividades empresariales- la tarea principal de los directores y el personal de TI es gestionar eficazmente estos elementos esenciales, de manera que se optimice el rendimiento y el funcionamiento se adhiera a las directrices, normas y reglamentos.
Este nivel de gestión de activos de software (SAM) requiere la integración de tecnología, herramientas, procesos y personal. El grado en que esto se consigue define la eficiencia de una organización y afecta directamente a la capacidad de satisfacer las demandas de los clientes y ser competitiva en el mercado.
¿Cómo se produce el incumplimiento?
La competitividad y la rentabilidad están estrechamente correlacionadas y pueden verse amenazadas por problemas de incumplimiento del software, entre los que se incluyen los siguientes:
- Desconocimiento del cambio de derechos durante el periodo de licencia
- Desconocimiento del cambio de derechos con la actualización
- Desconocimiento de las diferentes reglas de virtualización
- Uso inadvertido de software sin licencia
- Malentendido de los requisitos de licencia
Como muestra esta lista, hay varias formas de que una empresa se encuentre fácilmente fuera de cumplimiento. La solución para evitar esta contingencia -que puede repercutir negativamente en el margen de beneficios, la reputación y la cuota de mercado- es crear e instituir un programa SAM eficaz.
Reducir el riesgo de incumplimiento
Para gestionar los riesgos, primero hay que clasificar las amenazas en uno de los siguientes tipos principales:
Transferencia
La transferencia de riesgos significa esencialmente trasladar o externalizar la responsabilidad y, por tanto, el impacto de un riesgo. La garantía de un producto o un seguro son ejemplos de transferencia de riesgos.
Aceptación
Aceptar el riesgo significa absorber sus efectos, que pueden incluir un rendimiento inferior, un aumento de los costes y la pérdida de reputación o estatura entre los clientes actuales y potenciales.
Evitarlo
Consiste en no realizar una actividad u operación que presente riesgo(s).
Mitigación
A veces también denominada reducción del riesgo, la mitigación es la institución de un plan con procesos y controles, de forma que la probabilidad de que se produzca el riesgo y/o su gravedad se reduzcan al nivel más bajo posible.
Para aplicaciones esenciales, los tipos 2 y 3 no suelen ser opciones disponibles. Quedan los tipos 1 y 4, transferencia y mitigación, respectivamente. Combinar estos tipos como parte de una solución DevSecOps y contratar al proveedor de servicios adecuado es el medio más fiable de garantizar el cumplimiento.
Gestión de riesgos con herramientas de automatización del cumplimiento de DevSecOps
DevSecOps es la integración de la seguridad en el desarrollo de software a lo largo de todo el ciclo de vida. Hay profesionales de la seguridad que piensan que esto es una violación de la separación de funciones (SoD), que es una base de la seguridad basada en la distribución de la funcionalidad crítica. Esta distribución mejora la seguridad al reducir los errores y el fraude.
Sin embargo, esta suposición no suele ser cierta en el desarrollo de software contemporáneo. Es raro encontrar menos de unos pocos programadores o ingenieros, cada uno con responsabilidad sobre diferentes etapas del ciclo de desarrollo de software. Además, las pruebas de software no se realizan una sola vez, sino continuamente.
Como se ilustra en la figura anterior, la naturaleza iterativa o cíclica del desarrollo DevSecOps conduce a plataformas seguras y conformes. Siempre que los controles de cumplimiento se codifiquen estratégicamente en la canalización del producto, debería conseguir una mayor eficiencia y una mitigación eficaz de los riesgos de cumplimiento. Es importante automatizar los procesos de auditoría y/o escaneado necesarios y ejecutarlos con cierta periodicidad.
Además, deben automatizarse todas las partes del proceso de corrección que puedan automatizarse. Empezar poco a poco puede ayudar a poner la pelota en movimiento, y las mejoras se pueden hacer de forma incremental. La corrección puede empezar con algo tan sencillo como enviar un correo electrónico o crear un ticket en un gestor de incidencias, y puede evolucionar con el tiempo hacia flujos de trabajo más complejos.