La demanda de seguridad de los productos ha crecido en diversos sectores, sobre todo en el de la electrónica de consumo individual, la sanidad y la automoción. Los consumidores son cada vez más conscientes de los riesgos de exponer datos personales y exigen productos conectados más seguros que nos den confianza y tranquilidad, los más conocidos son los dispositivos para fitness, domótica, transporte y atención médica.
Tabla de contenidos
¿Qué es la seguridad del producto?
La seguridad del producto se define como «el grado en el que se puede esperar que un sistema funcione de manera confiable a partir de su uso previsto sin comprometer involuntariamente a sí mismo o a la información que procesa, almacena, transfiere o comparte».
El objetivo de cualquier negocio es generar beneficios. Sin embargo, para que sus productos y servicios lleguen a más clientes, deben entregarse de manera segura. Para ello los Product Managers son los responsables finales de la Seguridad de sus productos y deben de encargarse del desarrollo del producto enfocado a una calidad que no comprometa su funcionamiento, ni a los usuarios, ni cualquier persona en la cadena de distribución del producto o almacenaje. No confundir con Proyect Manager.
La seguridad de los productos es un tema de gran importancia, sobre todo por los graves inconvenientes que puede causar a las empresas: retirada de productos, pérdida de reputación de una marca o incluso demandas judiciales.
Los Product Managers o gestores de producto
Los gestores de producto son responsables de garantizar que el producto en el que trabajan sea seguro y cumpla con todos los requisitos legales y reglamentarios.
Sus responsabilidades incluyen la creación de una estrategia de gestión de productos que se adapte a las necesidades del negocio, la construcción de un equipo eficaz, la organización de los procesos de trabajo, el establecimiento de plazos y la gestión del proyecto en general.
Los gestores o gerentes de producto también deben asegurarse de completar toda la recopilación y evaluación de datos para garantizar productos de calidad.
Equipo involucrado en la seguridad del producto:
- Seguridad operativa: escaneo de red, aplicaciones y sistemas.
- Equipo o persona de QA: sometimiento a pruebas de diseño, arquitectura.
- Equipo de desarrollo: garantizar que el código se escriba de forma segura.
- Equipo ejecutivo: Director de seguridad o Director de Seguridad de la información.
Un Product Security Manager tiene responsabilidades en todas las etapas del ciclo de vida de un producto, desde la ideación y el diseño hasta la construcción y la mejora continua de la privacidad y la seguridad del producto después de su lanzamiento.
Estrategias para garantizar una efectiva seguridad de Producto Tecnológico
Organización del equipo
El equipo de seguridad del producto debe trabajar estrechamente con el departamento de desarrollo y el resto del equipo de seguridad para tener éxito.
También es importante que el equipo de seguridad mantenga una buena relación con el resto su equipo para que puedan colaborar y pedir ayuda.
Relaciones con el departamento de Tecnología
Establecer una buena relación con la organización ayuda a prevenir la «ingeniería paralela » o aplicaciones y sistemas que ignoran las pautas de desarrollo y nunca logran la seguridad. Dependiendo del tamaño de los equipos de desarrollo y de seguridad del producto, sus estrategias pueden variar en este caso.
Relaciones de seguridad operativa
Tanto los equipos de infraestructura como las operaciones de seguridad deben ser colaboradores de la seguridad de los productos. La seguridad de los productos nunca podrá prevenir o solucionar todas las vulnerabilidades del software, por lo que necesita que su centro de operaciones de seguridad ayude a detectar y supervisar los incidentes a medida que se producen. La seguridad del producto debe trabajar con la respuesta a incidentes para asegurarse de que las alertas son precisas y no crean falsos positivos que perjudiquen las relaciones con la organización de ingeniería.
Tamaño del equipo
A medida que una organización crece, el equipo de seguridad del producto debe crecer. Si quieres conseguir una cobertura del 100% de tu organización la proporción ideal es de 1 técnico de seguridad del producto por cada 20 ingenieros. Esto implica que el riesgo que quieras asumir tendrá una menor cobertura.
Gestión de activos
Es necesario tener un catálogo de aplicaciones y activos relacionados (dominios, bases de datos, infraestructura, etc.). No olvides documentar todas las vías de acceso a la producto y su entorno, como las apps, los paneles de administración, los paneles de soporte y cualquier acceso de desarrollo a los datos o al código.
Revisión del código
El equipo de seguridad del producto no puede revisar cada línea de código, especialmente cuando se está escribiendo. Procura no leer todo el código que se confirma. Sería mejor que el equipo de desarrollo identifique a tu equipo lo que es sensible y debe ser revisado.
Pruebas automáticas de vulnerabilidad
Incorpora pruebas de seguridad sólidas en el proceso de integración continua y despliegue continuo. Tanto si utilizas herramientas existentes como si creas tus propias herramientas de análisis o utilizas proyectos de código abierto, tienes que establecer una referencia de pruebas razonables por las que pase todo el código. La línea de referencia debe incluir los tipos de ataques y técnicas que los atacantes utilizarían contra los productos.
Integración y despliegue constante
Es decir, el código no se manipula de ninguna manera que pueda permitir a un adversario acceder a los datos de producción. El control de versiones, los hosts de construcción, las pruebas de integración y los conductos de despliegue deben estar protegidos.
Evaluación de la seguridad
Aunque esto se conoce comúnmente como una prueba de penetración, la podemos tomar como una evaluación fuera de los límites, ya que la prueba de penetración puede referirse a muchas cosas. Su evaluación puede ser realizada internamente o por un tercero, pero tiene que considerar el alcance de su organización o producto como lo haría un atacante.
Gestión de la vulnerabilidad
La mayoría de las veces, tu equipo detectará más vulnerabilidades que pueden ser parcheadas mientras el departamento de desarrollo puede seguir cumpliendo con los hitos del producto. Es importante que el equipo de seguridad del producto asesore a la empresa sobre cómo equilibrar las vulnerabilidades frente a las prestaciones, y que no sólo recomiende correcciones. El equipo necesita priorizar de forma precisa y eficaz para maximizar el esfuerzo dedicado a solucionar las vulnerabilidades de seguridad.
Formación y documentación
Los desarrolladores deben recibir algún tipo de formación sobre seguridad del producto una vez al año y cuando se incorporen a la organización. Esta formación debería cubrir todo lo que necesitan saber sobre el trabajo con la seguridad, incluyendo cuándo presentar revisiones de diseño, revisiones de código y nuevas bibliotecas de terceros para su revisión. Debe incluir directrices de desarrollo de seguridad, consejos de seguridad de la infraestructura y recomendaciones sobre lo que hay que registrar y cómo.
Concluyendo…
Una de las tareas que más redundan en todos los procesos de creación de un producto son la salvaguarda de la seguridad y la garantía de calidad, estrechamente ligadas.
Un Gestor de producto tecnológico o de SaaS debe formarse e informarse en estos aspectos para lograr que el lanzamiento del producto sea lo más exitoso posible.
Puedes informarte sobre más en estos artículos sobre seguridad o sobre Calidad de Producto y Product Management. Cualquiera de los tres ampliará tu conocimiento en cualquiera de estos campos. Además en esta entrevista que hicimos a @TheGoodKnowMAD puedes ampliar hacia materias transversales.
