En Diciembre de 2024, Ley de Resiliencia Cibernética (CRA) entró en vigor en Europa, marcando el inicio del período de transición para que las organizaciones y empresas se adapten a los nuevos requisitos de ciberseguridad. Este documento regulatorio tiene como objetivo mejorar los estándares de calidad y seguridad al exigir a los fabricantes y minoristas que admitan y actualicen los componentes digitales durante todo el ciclo de vida de sus productos. La CRA cubre tanto hardware como software, y afecta no sólo a los fabricantes de la UE sino también a los importadores, por lo que las empresas estadounidenses que operan o venden sus productos en países de la UE también se verán afectadas. La legislación tendrá un profundo impacto en varios segmentos del mercado, como los productos de Internet de las cosas. Si bien las empresas tienen hasta 2027, cuando las obligaciones de cumplimiento se vuelven obligatorias, la CRA marca un paso importante al reconocer la importancia de la ciberseguridad para una gran variedad de productos y crear estructuras que protejan los intereses de los clientes finales. Anton Snitavets, ingeniero líder en seguridad de la información en Doumo, miembro senior de IEEE, miembro de la comunidad Hackathon Raptors y profesional certificado en sistemas de seguridad de la información, explica qué implica el enfoque moderno de la ciberseguridad y qué factores deben tener en cuenta las empresas. para proteger a sus clientes y a ellos mismos.
El cambio hacia un enfoque integrado
Anton Snitavets señala que la ciberseguridad se ha convertido en una parte integral de sus operaciones para más empresas, no solo algunas medidas de protección o reglas de seguridad impuestas a los procesos existentes. Esto es particularmente cierto para las empresas que se especializan en el desarrollo de software. Anton encontró un problema similar en 2017 cuando comenzó a trabajar en Aras Corp como ingeniero de DevSecOps. Para mejorar el proceso de desarrollo de software, implementó el ciclo de vida de desarrollo de software seguro (SSDLC), que hizo que el proceso de desarrollo de software fuera significativamente más seguro al agregar nuevos medios para detectar y eliminar riesgos de ciberseguridad antes de que conduzcan a consecuencias negativas. Integró las soluciones de software existentes junto con las personalizadas que él mismo desarrolló, haciendo que el proceso de desarrollo de software sea más productivo y confiable. En concreto, mejoró el proceso de desarrollo de actualizaciones para Aras Innovator Software, una solución de gestión de productos de ingeniería utilizada por los clientes de Aras, entre ellas importantes empresas de ingeniería como General Motors y Airbus. Como resultado, en 3,5 años, aumentó significativamente la calidad del producto, eliminó múltiples vulnerabilidades en el software y aumentó su estabilidad y seguridad, lo cual es especialmente importante para una solución de software utilizada para tareas de ingeniería complejas. Después de unirse a Doumo recientemente, está implementando enfoques similares como ingeniero líder en seguridad de la información, trabajando en la integración de SSDLC con la infraestructura de la nube.
“El hecho de que más empresas, similares a las dos mencionadas anteriormente, concentren esfuerzos significativos en hacer que los procesos de desarrollo sean más seguros resalta que para que las medidas de seguridad sean eficientes, deben convertirse en una parte integral del ciclo de desarrollo de software”. comenta. «Las empresas que aún no hayan implementado este enfoque deberán aprender a aplicarlo durante todo el ciclo de vida del desarrollo».
Desarrollando soluciones a medida
Este cambio hacia un enfoque más integral de la seguridad de la información conduce a otro cambio significativo. Las empresas deben desarrollar soluciones personalizadas que respondan a sus necesidades con precisión en lugar de depender de otras que se crean fácilmente. «Las soluciones listas para usar no suelen cubrir todos los casos y escenarios, dejando de lado vulnerabilidades específicas desprotegidas o, por el contrario, desperdiciando recursos de la empresa en medidas que no son necesarias en un caso particular», explica Anton Snitavets. «Es por eso que las empresas necesitan soluciones que tengan en cuenta las características específicas de sus operaciones y los riesgos comunes relacionados». Su experiencia proporciona suficientes ejemplos de por qué es esencial desarrollar soluciones personalizadas y tener en cuenta situaciones y amenazas específicas, ya que mejora el proceso de desarrollo y hace que el producto sea más seguro para el usuario final. En Aras Corp, desarrolló e implementó una solución para análisis de código que permitía a los desarrolladores detectar vulnerabilidades como inyecciones SQL y riesgos de recorrido de ruta en el código del producto, así como vulnerabilidades específicas de un producto en particular. Una vez implementado el analizador, se detectaron y solucionaron varias docenas de vulnerabilidades. Además, la implementación del analizador hizo que el producto fuera más seguro para que los usuarios finales desarrollaran soluciones personalizadas, permitiéndoles detectar y resolver riesgos potenciales en las primeras etapas de desarrollo.
Anton Snitavets menciona otro concepto crítico que las empresas tendrán que adoptar: tendrán que centrarse en prevenir amenazas y actuar de forma proactiva en lugar de centrarse únicamente en protegerse de amenazas conocidas y responder a infracciones que ya han ocurrido. Para lograr este objetivo, se requiere un sistema flexible de análisis y reporte, que permita a la empresa monitorear el estado actual de la infraestructura, predecir y detectar riesgos potenciales, y eliminarlos antes de que causen pérdidas. Este es el tipo de trabajo que Anton Snitavets realizó en Jabil Inc., donde trabajó como ingeniero de seguridad en la nube desde 2022. Para mejorar la postura de cumplimiento de la seguridad en la empresa, desarrolló un marco de informes original para informarse rápidamente sobre el estado de seguridad de los recursos de la nube. Para ello, adaptó los estándares de seguridad existentes. Integró una solución de software para agregar datos sobre el estado de la información en la nube que tenía un papel crucial en las operaciones de la empresa, ayudando a mantener su calificación de cumplimiento de seguridad en el nivel más alto posible.
La necesidad del aprendizaje continuo
Es importante agregar que la tecnología avanza constantemente y, junto con las nuevas medidas de protección, surgen nuevas amenazas. «Mientras los profesionales de la ciberseguridad desarrollan formas nuevas, más sólidas y resilientes de proteger los datos y garantizar las operaciones estables de la infraestructura digital, los actores maliciosos encuentran nuevos vectores de ataque, tratando de utilizar la tecnología emergente en su beneficio». explica Antón Snitavets. Por eso es necesario que un profesional de la ciberseguridad aprenda continuamente, tanto en la teoría como en la práctica, explorando nuevos métodos y soluciones y encontrando formas eficientes de aplicarlos a las tareas que tiene entre manos.
Anton Snitavets ha seguido este principio a lo largo de su carrera. Incluso mientras estudiaba, comenzó a trabajar como desarrollador de software, adquiriendo experiencia que le proporcionó una base sólida para su futura carrera. Luego trabajó continuamente en la adquisición de certificaciones profesionales, incluido el Profesional Certificado en Seguridad de Sistemas de Información (CISSP), que se considera una de las certificaciones de ciberseguridad más difíciles de obtener.
«IEs importante combinar la adquisición de certificaciones formales, que demuestren las habilidades profesionales del individuo, con una exploración constante de tecnologías emergentes y la puesta en práctica de los conocimientos recién adquiridos”. explica Antón Snitavets. “Convertirse en un experto en ciberseguridad requiere mucha dedicación y disciplina porque el costo de los errores puede ser significativo.
Es necesario avanzar constantemente y actuar de manera proactiva para implementar procesos eficientes de seguridad de la información. Nuevas medidas regulatorias como la CRA impulsarán a las empresas a adoptar mejores prácticas de seguridad. Sin embargo, incluso antes de que sea obligatorio, las empresas deben avanzar en su enfoque de la ciberseguridad para protegerse a sí mismas y a sus clientes contra amenazas emergentes. “
