Norma promueve seguridad de la información que se maneja en aplicaciones tecnológicas

INTECO, Comunicación Inteco
  • Estudios internacionales afirman que un 65% de los ciberataques son realizados a pequeñas y medianas empresas


Las aplicaciones tecnológicas, ya sean para teléfonos móviles o para otros dispositivos, han crecido de manera considerable en Costa Rica, incluso es común ver el ingreso de herramientas de software desarrolladas en el extranjero, que están siendo utilizadas en el país.

Actualmente, una importante cantidad de organizaciones ofrecen soluciones de este tipo a sus clientes y usuarios , ya sea de manera gratuita o de pago. Pero, ¿está resguardada la información de las organizaciones y usuarios que las utilizan? 

Precisamente, con el objetivo de brindar orientación para ayudar a las organizaciones a integrar la seguridad en los procesos utilizados para gestionar sus aplicaciones, el Instituto de Normas Técnicas de Costa Rica (INTECO) adoptó la norma INTE/ISO/IEC 27034-1:2019 Tecnologías de la información. Técnicas de seguridad. Seguridad de la aplicación. Parte 1: Descripción general y conceptos.

Susana Picado, gestora de proyectos de Normalización de INTECO explica que “la norma introduce definiciones, conceptos, principios y procesos relacionados con la seguridad de la aplicación y puede ser utilizada en aplicaciones desarrolladas internamente, adquiridas de terceros y donde el desarrollo o la operación de la aplicación se subcontrata”.

Cuando hablamos de aplicaciones, el alcance va más allá de las conocidas ‘apps móviles’. Se trata más bien de un software de cualquier naturaleza, para cualquier tipo de segmento del mercado, desde el muy especializado hasta el comercial.  Por ejemplo, software para gestión de aviones comerciales, para computadoras de vehículos, para refrigeradoras inteligentes, para gestores de vídeo y hasta para naves espaciales.

En los últimos años, gran parte de los esfuerzos de protección, seguridad y gestión de riegos relacionados con las tecnologías de la información se han enfocado principalmente en temas como la infraestructura, plataforma o protección contra intrusos externos e internos.

Sin embargo, se había dedicado muy poco esfuerzo para mejorar la seguridad durante el ciclo de vida de las aplicaciones que son desarrolladas para operar en diversas plataformas. 

Gilbert González, miembro del Comité Técnico Nacional de Seguridad de la Información que colaboró en el proceso para la adopción de la norma dijo que, si bien los riesgos “son relativos a los objetivos de negocio de las organizaciones, algunos riesgos podrían ser sensibles tales como el robo de información personal identificable (números de cuenta bancaria, tarjeta de crédito o ubicación física) y otros podrían inclusive provocar pérdidas irreparables en algunas organizaciones”.

La materialización de un riesgo que se traduzca en pérdida de información, tiene el potencial de afectar negativamente la imagen corporativa de una organización ya que los clientes podrían considerarla poco confiable. 

En Costa Rica, es difícil conocer la cantidad de ataques reales a la información de las organizaciones, pero un estudio de la firma internacional de consultoría tecnológica Kelser Corporation, reveló que un 65 % de los ciberataques están dirigidos a pequeñas y medianas empresas, debido a que no cuentan con la infraestructura para protegerse de dicha agresión.

Por otra parte, la Universidad de Maryland en Estados Unidos, estableció una frecuencia de ataques de cada 39 segundos para computadores conectados a internet en ese país, realidad, que según los expertos, puede estar muy cerca de presentarse en el país.

La norma se diseñó para un público meta amplio, que incluye la alta dirección y gerencia de la organización, equipos de operación, compradores, proveedores, auditores y usuarios. Es decir, la protección de las aplicaciones tiene un impacto directo en toda la comunidad de usuarios en los distintos niveles de la cadena de servicio.