Por qué es importante proteger los entornos de desarrollo

netzima

En los últimos años, la multitud de ataques más que notorios en entornos de desarrollo ha hecho patente la necesidad de contar con protocolos de seguridad en todas las etapas de la cadena de suministro de software y aplicaciones.

Según un informe elaborado por Argon, grandes compañías como Microsoft o Mercedes han sido víctimas de ciberataques en un entorno de preproducción o desarrollo, con los consecuentes problemas que este tipo de accesos conllevan, desde las crisis de reputación a las importantes pérdidas económicas.

No obstante, aún resulta más que habitual que las empresas descuiden la seguridad en los entornos de desarrollo: este informe de Argon cifraba en un 80% las empresas que afirmaban que sus entornos de desarrollo no serían capaces de soportar un ciberataque.
¿Por qué es crucial contar con protección en los entornos de desarrollo y entorno de preproducción y cómo garantizar esta protección? Te lo contamos.

Por qué es importante proteger los entornos de desarrollo

El entorno de desarrollo supone la primera etapa dentro de la cadena de suministro de software, seguido del entorno de preproducción y, finalmente, el de producción. 

En esta primera etapa, se trabaja en la generación del nuevo software, desarrollando el código que, en cierto modo, actuará como pilar básico de la nueva herramienta una vez finalizada. Para ello, es común emplear conjuntos de datos que, algunas veces son generados de forma sintética, y otras contienen información sensible, por proceder de entornos de producción.

No obstante, muchos desarrollos han descuidado la protección de datos en entornos de desarrollo: el informe citado más arriba asegura que solo un 30% de los desarrollos cuentan con protección específica para esta primera fase.

En este contexto, hay varios motivos por los que esto es un error importante:

  • Si el entorno de desarrollo actúa como los cimientos del futuro software, será esencial garantizar que durante su creación no han surgido vulnerabilidades.
  • De acuerdo al Reglamento General de Protección de Datos (RGPD o GDPR por sus siglas en inglés), resulta esencial limitar la exposición de datos sensibles en cualquiera de las etapas de desarrollo de software. Por ejemplo, se necesitaría el permiso explícito del propietario de los datos (el cliente) para usar sus datos en procesos de desarrollo y pruebas de software.
  • Precisamente al ser un área a menudo descuidada en términos de protección de datos sensibles, tal como apunta el instituto PoneMon las brechas de seguridad más comunes tienen que ver con negligencias o acciones maliciosas de empleados y subcontratistas, puesto que los entornos de desarrollo están más expuestos que los entornos de producción.

Frente a esta problemática, los protocolos de Test Data Management orientados a entornos de prueba suponen el antídoto adecuado para proteger los entornos no productivos (entornos de desarrollo y preproducción). 
En pocas palabras, mediante técnicas de enmascaramiento, las empresas podrán garantizar que los datos sensibles no llegan al entorno de desarrollo y, por tanto, no pueden quedar comprometidos en ningún momento.

Quizás te interesa: Datos de prueba: 5 beneficios de utilizar la tecnología TDM

Qué riesgos existen en los entornos de desarrollo

Fuga de información

La fuga de información se define como la salida de información de unos datos que, en principio, deberían ser confidenciales. En entornos de desarrollo, son particularmente comunes las intromisiones indebidas de personas de la propia organización, siendo una puerta de entrada muy importante a la red de información de una empresa y su infraestructura global. 

En este sentido, evitar la presencia de datos sensibles por medio de la anonimización o disociación de datos resulta clave, garantizando que estos no llegan al entorno de desarrollo y quedan debidamente protegidos.
Es más, los entornos de desarrollo cuentan con particularidades (diferentes proveedores, incertidumbre sobre la fiabilidad del código…) que pueden significar la necesidad de medidas de seguridad extraordinarias.

Incumplimiento GDPR

El RGPD (o GDPR) establece, por un lado, en el artículo 32, que las empresas son responsables de aplicar las medidas técnicas y organizativas para garantizar la seguridad de los datos personales que empleen.

Esta legislación se complementa a su vez con las directrices “Guidelines on the protection of personal data in IT governance and IT management of EU institutions”, que hacen mención específica a las fases de preproducción, incluyendo los entornos de desarrollo.

En este sentido, se recogen varias líneas generales sobre el tratamiento de datos en estos contextos: 

  • Recurrir a la anonimización o la seudonimización de los datos en el tratamiento de datos sensibles.
  • Se deberá minimizar la utilización de datos personales no disociados (priorizando el empleo de datos sintéticos o creados artificialmente), que quedará restringida a los casos en los que no es posible probar el software de otra forma.
  • En caso de que sea estrictamente necesario emplear datos personales, esta necesidad deberá quedar documentada. También se requerirá documentación sobre las medidas técnicas para proteger estos datos, teniendo en cuenta la proporcionalidad de acuerdo al riesgo del tratamiento de estos datos.

Así, la legislación europea establece requisitos minuciosos para que las empresas puedan emplear datos procedentes de entornos productivos en entornos de desarrollo, apuntando a la necesidad de contar con técnicas de disociación y protección adecuadas.

Más información: TDM y GDPR: por qué están relacionados en la protección de datos

Vulnerabilidad en el propio desarrollo

El acceso con fines fraudulentos a los entornos de desarrollo permite a los hackers introducir fallos o vulnerabilidades dentro del software o aplicación que se está construyendo. Estos fallos tienen un impacto muy significativo en los desarrollos y pueden conllevar costosos procesos de reingeniería.

Qué implicaciones tienen estos riesgos para la empresa

Pérdida de reputación

Cualquiera de los incidentes debidos a vulnerabilidades en datos personales ha servido de muestra sobre las importantes pérdidas de reputación que suponen para las empresas. En muchas ocasiones, esto ha derivado en pérdidas económicas y de clientela, que optan por buscar compañías que sí garanticen la seguridad de sus datos.

Sanciones económicas

El RGPD impone cuantiosas multas para aquellas empresas que no logren proteger los datos personales que utilizan, también en los entornos de desarrollo. 

Las multas pueden ascender al 4% de la facturación anual mundial o a los 20 millones de euros (según qué cantidad sea mayor), y ya existen datos sobre los primeros años de recaudación en este sentido: 

  • Un informe de la comisión Europea desvelaba las multas más cuantiosas en los primeros años desde la puesta en marcha de la legislación en protección de datos: Google fue multado con 50 millones de euros y un operador de redes sociales pagó 20.000€ de multa.
  • El despacho DLA Piper cuantifica en casi 1.100 millones de euros la cantidad recaudada por sanciones en torno al RGPD en un año, según publicó en 2022.

Costes económicos

Los problemas de seguridad afectan a la totalidad de un negocio y, como tal, suponen problemas financieros y de estancamiento. La necesidad de asignar recursos a programas de gestión de crisis y los fallos en software derivados de vulnerabilidades en entornos de desarrollo son algunas de las causas más notables por las que los costes económicos de un ataque se multiplican.

Cómo proteger los entornos de prueba

La solución: contar con un software de gestión de datos en entornos de desarrollo

Herramientas como icaria TDM permiten detectar los datos sensibles y, aplicando las técnicas de enmascaramiento adecuadas, minimizar la posibilidad de vulnerabilidades, además de cumplir con la ley de protección de datos, todo ello de forma automática. ¿Quieres saber más sobre la protección de datos en entornos de desarrollo? Solicita una demo de icaria TDM y descubre de primera mano cómo este software te ayuda a gestionar la seguridad de datos de forma eficiente y legal.

Solicitud de DEMO

Compartir:

Compartir en facebook
Compartir en twitter
Compartir en pinterest
Compartir en linkedin