Adecuación del software y aplicaciones informáticas de una empresa industrial al cumplimiento de la legislación de GDPR (Reglamento general de protección de datos) y PCI (Seguridad de pagos on line)

Empresa: 
Empresa Industrial del sector textil

Agente tecnológico: 
Continuum Security

Presentación del Caso:

La empresa cliente tiene una importante actividad en el desarrollo de software propio para la interacción “online” con sus clientes y proveedores, estando su escaparate principal en su web de compra de productos B2C. Por esta razón requiere de asegurar el cumplimiento de determinados estándares relacionados con la protección de datos (cumplimiento con GDPR) y seguridad en las transacciones monetarias (cumplimiento con PCI).

La empresa ya viene realizando actividades de modelado de amenazas de las aplicaciones que desarrolla, aunque de manera manual, lo cual implica un alto coste en tiempo y recursos.

Las aplicaciones de software son unos puntos críticos de las defensas de una empresa ante ciberataques. Los emplazamientos físicos pueden tener alta seguridad humana y tecnológica, pero ahora los robos se hacen con software, pues el valor de una empresa que desarrolla aplicaciones para empoderar su negocio, hoy en día reside en la información que poseen en sus bases de datos.

Se trata así de minimizar el riesgo de un ataque cibernético a la website del cliente que tendría un coste reputacional y de marca importante que no se puede cuantificar. Se ha probado que los consumidores huyen de las compras online a empresas que hayan tenido un ataque en los últimos 2 años.

El cliente también está migrando parte de sus sistemas a la nube y desplegando en la misma nuevos sistemas industriales. Para ello requiere de un asesoramiento sobre las vulnerabilidades y propuesta de contramedidas.

Proceso de trabajo:

El nuevo Reglamento General de Protección de Datos (GDPR) trata de proteger y reforzar la defensa de los datos y ha resultado implementado en la aplicación IriusRisk de Continuum Security para facilitar a las empresas usuarias que los proyectos de software que habilitan sus relaciones con los clientes cumplan con la legalidad establecida como PCI, NIST y GDPR sin necesidad de la intervención de un equipo legal.

Mediante la implementación del software IriusRisk en los procesos de diseño y desarrollo de las aplicaciones de la empresa cliente, se obtiene un asesoramiento automático sobre dónde se hayan las vulnerabilidades y una indicación de las contramedidas a adoptar. También se comprueban las aplicaciones con herramientas de testeo automático y gestionando el riesgo del software a nivel global y en tiempo real.

La integración de la herramienta IriusRisk en los sistemas industriales se realiza por parte de Continuum Security gratuitamente, lo cual incluye 3 días de consultoría de seguridad informática gratuita y un curso de training a los usuarios finales, todo para facilitar la rapidez en la adopción del software.

Beneficios obtenidos por la empresa:

El modelado de amenazas es una práctica fundamental en el proceso de construir tecnología confiable; ha demostrado ser una de las actividades con mejor retorno de inversión a la hora de identificar y corregir fallos de seguridad en el diseño industrial antes de su implementación en el código.

Al implantar el software, IriusRisk, la empresa industrial vió cómo sustancialmente se reducían los incidentes de ciberseguridad; cómo se reducían los costes en el cómputo total de la inversión y en el coste del programa de seguridad de aplicaciones, así como una reducción en el número de vulnerabilidades detectadas en las pruebas de seguridad (bug bounties, pentest) y en el número de recomendaciones a seguir después de las auditorías de cumplimiento normativo.

La detección de las amenazas en la fase de diseño de las aplicaciones, así como la implementación de contramedidas y requisitos de seguridad reduce drásticamente las probabilidades de que haya que volver a rediseñar, refactorizar o enfrontar un flujo constante de defectos de seguridad. De este modo, se está en disposición de entregar un mejor producto en el marco de una planificación más predecible. Todo el esfuerzo que se habría destinado a revisar fallos de seguridad se puede invertir ahora en la construcción de un producto más robusto, rápido, barato y orientado a los requisitos de los clientes.