{"id":2239,"date":"2019-09-04T10:25:55","date_gmt":"2019-09-04T08:25:55","guid":{"rendered":"http:\/\/aragonindustria40.es\/?p=2239"},"modified":"2019-09-04T10:26:02","modified_gmt":"2019-09-04T08:26:02","slug":"adecuacion-del-software-y-aplicaciones-informaticas-de-una-empresa-industrial-al-cumplimiento-de-la-legislacion-de-gdpr-reglamento-general-de-proteccion-de-datos-y-pci-seguridad-de-pagos-on-line","status":"publish","type":"post","link":"https:\/\/aragonindustria40.es\/index.php\/caso-de-exito\/adecuacion-del-software-y-aplicaciones-informaticas-de-una-empresa-industrial-al-cumplimiento-de-la-legislacion-de-gdpr-reglamento-general-de-proteccion-de-datos-y-pci-seguridad-de-pagos-on-line\/","title":{"rendered":"Adecuaci\u00f3n del software y aplicaciones inform\u00e1ticas de una empresa industrial al cumplimiento de la legislaci\u00f3n de GDPR (Reglamento general de protecci\u00f3n de datos) y PCI (Seguridad de pagos on line)"},"content":{"rendered":"\n

Empresa: <\/strong>
Empresa Industrial del sector textil<\/p>\n\n\n\n

Agente tecnol\u00f3gico:<\/strong> 
Continuum Security <\/p>\n\n\n\n

Presentaci\u00f3n del Caso:<\/strong><\/p>\n\n\n\n

La empresa cliente tiene una importante actividad en el desarrollo de software propio para la interacci\u00f3n \u201conline\u201d con sus clientes y proveedores, estando su escaparate principal en su web de compra de productos B2C. Por esta raz\u00f3n requiere de asegurar el cumplimiento de determinados est\u00e1ndares relacionados con la protecci\u00f3n de datos (cumplimiento con GDPR) y seguridad en las transacciones monetarias (cumplimiento con PCI).<\/p>\n\n\n\n

La empresa ya viene realizando actividades de modelado de amenazas de las aplicaciones que desarrolla, aunque de manera manual, lo cual implica un alto coste en tiempo y recursos. <\/p>\n\n\n\n

Las aplicaciones de software son unos puntos cr\u00edticos de las defensas de una empresa ante ciberataques. Los emplazamientos f\u00edsicos pueden tener alta seguridad humana y tecnol\u00f3gica, pero ahora los robos se hacen con software, pues el valor de una empresa que desarrolla aplicaciones para empoderar su negocio, hoy en d\u00eda reside en la informaci\u00f3n que poseen en sus bases de datos. <\/p>\n\n\n\n

Se trata as\u00ed de minimizar el riesgo de un ataque cibern\u00e9tico a la website del cliente que tendr\u00eda un coste reputacional y de marca importante que no se puede cuantificar. Se ha probado que los consumidores huyen de las compras online a empresas que hayan tenido un ataque en los \u00faltimos 2 a\u00f1os. <\/p>\n\n\n\n

El cliente tambi\u00e9n est\u00e1 migrando parte de sus sistemas a la nube y desplegando en la misma nuevos sistemas industriales. Para ello requiere de un asesoramiento sobre las vulnerabilidades y propuesta de contramedidas.<\/p>\n\n\n\n

Proceso de trabajo:<\/strong><\/p>\n\n\n\n

El nuevo Reglamento General de Protecci\u00f3n de Datos (GDPR) trata de proteger y reforzar la defensa de los datos y ha resultado implementado en la aplicaci\u00f3n IriusRisk de Continuum Security para facilitar a las empresas usuarias que los proyectos de software que habilitan sus relaciones con los clientes cumplan con la legalidad establecida como PCI, NIST y GDPR sin necesidad de la intervenci\u00f3n de un equipo legal. <\/p>\n\n\n\n

Mediante la implementaci\u00f3n del software IriusRisk en los procesos de dise\u00f1o y desarrollo de las aplicaciones de la empresa cliente, se obtiene un asesoramiento autom\u00e1tico sobre d\u00f3nde se hayan las vulnerabilidades y una indicaci\u00f3n de las contramedidas a adoptar. Tambi\u00e9n se comprueban las aplicaciones con herramientas de testeo autom\u00e1tico y gestionando el riesgo del software a nivel global y en tiempo real.<\/p>\n\n\n\n

La integraci\u00f3n de la herramienta IriusRisk en los sistemas industriales se realiza por parte de Continuum Security gratuitamente, lo cual incluye 3 d\u00edas de consultor\u00eda de seguridad inform\u00e1tica gratuita y un curso de training a los usuarios finales, todo para facilitar la rapidez en la adopci\u00f3n del software.<\/p>\n\n\n\n

Beneficios obtenidos por la empresa:<\/strong><\/p>\n\n\n\n

El modelado de amenazas es una pr\u00e1ctica fundamental en el proceso de construir tecnolog\u00eda confiable; ha demostrado ser una de las actividades con mejor retorno de inversi\u00f3n a la hora de identificar y corregir fallos de seguridad en el dise\u00f1o industrial antes de su implementaci\u00f3n en el c\u00f3digo. <\/p>\n\n\n\n

Al implantar el software, IriusRisk, la empresa industrial vi\u00f3 c\u00f3mo sustancialmente se reduc\u00edan los incidentes de ciberseguridad; c\u00f3mo se reduc\u00edan los costes en el c\u00f3mputo total de la inversi\u00f3n y en el coste del programa de seguridad de aplicaciones, as\u00ed como una reducci\u00f3n en el n\u00famero de vulnerabilidades detectadas en las pruebas de seguridad (bug bounties, pentest) y en el n\u00famero de recomendaciones a seguir despu\u00e9s de las auditor\u00edas de cumplimiento normativo. <\/p>\n\n\n\n

La detecci\u00f3n de las amenazas en la fase de dise\u00f1o de las aplicaciones, as\u00ed como la implementaci\u00f3n de contramedidas y requisitos de seguridad reduce dr\u00e1sticamente las probabilidades de que haya que volver a redise\u00f1ar, refactorizar o enfrontar un flujo constante de defectos de seguridad. De este modo, se est\u00e1 en disposici\u00f3n de entregar un mejor producto en el marco de una planificaci\u00f3n m\u00e1s predecible. Todo el esfuerzo que se habr\u00eda destinado a revisar fallos de seguridad se puede invertir ahora en la construcci\u00f3n de un producto m\u00e1s robusto, r\u00e1pido, barato y orientado a los requisitos de los clientes. <\/p>\n\n\n\n