'Security by Design' es un principio básico en nuestro proceso de desarrollo
La preocupación por la ciberseguridad de los componentes IoT es creciente. Desde MB Connect Line apuestan por la securización de su tecnología, tanto a nivel de formación como en lo que se refiere a un diseño in-design seguro pero siempre amigable.
La protección de los entornos IoT ha de ser una apuesta desde el mismo diseño de los dispositivos y aplicaciones. Conversamos con Alexander Kamm, responsable de desarrollo software en MB Connect Line, sobre los desafíos de desarrollar software securizado y sobre su experiencia personal en la certificacion T.P.S.S.E. emitida por TeleTrust, la Federal Association of IT Security.
Recientemente completaste con éxito el programa de certificación de TeleTrust. ¿Qué significan las siglas T.P.S.S.E.?
Las siglas T.P.S.S.E. significan "Teletrust Professional for Secure Software Engineering" (Profesional TeleTrust para Ingeniería de Software Securizada). Esto es una certificado de TeleTrust en cooperación con TÜV Rheinland, que transmite los aspectos importantes en cuanto a seguridad en el desarrollo software. El objetivo es mostrar de antemano la existencia de vulnerabilidades y prevenir violaciones de seguridad antes y durante todo el proceso de desarrollo.
¿Cuáles son los principales retos en desarrollo securizado de software?
En un principio, el mayor problema es el tiempo que se necesita para implementar temas relacionados con la seguridad. Un aspecto a tener en cuenta es que el proceso de desarrollo securizado de software necesita más tiempo. Otro reto es encontrar un compromiso entre seguridad y usabilidad. Un ejemplo de como usabilidad y seguridad están a veces enfrentadas es el uso de contraseñas por defecto: seguro que son convenientes, pero hoy en día casi todo el mundo sabe lo inseguras que son estas contraseñas y lo rápido que se pueden identificar. Cualquiera con acceso a la red y malas intenciones puede loguearse usando estas credenciales conocidas y acceder a los sistemas y aplicaciones. Sin embargo, es probable que por comodidad muy poca gente cambie sus contraseñas.
Con un buen concepto, seguridad y usabilidad no tienen porque estar descompensadas. Con los dispositivos de MB connect line usamos contraseñas por defecto únicas, que no están documentada ni en nuestra empresa ni en cualquier documentación externa. Esta medida tan simple dificulta posibles ataques mientras que, por otro lado, todavía mantiene un buen nivel de usabilidad. Hay muchos casos donde se puede encontrar un buen compromiso entre usabilidad y seguridad. Otras veces, sin embargo, simplemente no es posible. En estos casos hay que evaluar las dos partes y tomar una decisión.
¿Cuáles son los típicos errores de desarrollo que, gracias a esta certificación, ya no volveréis a cometer?
En desarrollo software, es crucial afrontar el proceso de una manera estructurada y planificada. Antes de empezar con el desarrollo se necesita un buen concepto. El primer paso es analizar la situación. En el curso T.P.S.S.E. aprendimos una forma especial de análisis de seguridad. Primero evaluamos qué peligros pueden ocurrir para qué componentes. Después se evalúan y priorizan los vectores de ataque. Durante la evaluación se puede estimar si los vectores de ataque pueden ser mitigados con funcionalidades estándar o si es necesaria una aproximación más detallada y cómo debería ser diseñada esta protección. Además, estuvimos en contacto con varias herramientas muy útiles que se he incorporado en mi rutina diaria como desarrollador de software.
¿Cómo calificarías la calidad del curso y la certificación?
Me gustó mucho el carácter del workshop T.P.S.S.E. Especialmente interesante fue el tema 'análisis de interfaces'. El contenido de este curso se expuso de una manera muy práctica. Fue interesante ver que todos los participantes afrontaban los mismos retos, aunque vinieran de sectores muy distintos. Siempre había conversaciones en los descansos y al final del día sobre temas de seguridad.
A día de hoy, ¿qué productos de MB Connect Line han sido desarrollados bajo los principios de T.P.S.S.E.?
Hemos desarrollado y rediseñado muchos de nuestros productos últimamente. Con el nuevo mbNET (versión hardware 02) hemos diseñado probablemente uno de los routers más seguros del mercado. Con un 'Secure Element', el 'Secure Boot Process' y la 'Trusted Chain', principios importantes del curso que han sido incorporados a nuevos desarrollos y también a otros productos que han sido desarrollados según el principio 'Security by Design'. 'Security by Design' es la filosofía de la empresa, significa que la seguridad es una parte integral del proceso de desarrollo y acompaña a los dispositivos durante todo el ciclo de vida del producto. Estos productos de los que hablo son el firewall industrial mbNETFIX, un nuevo router con un interruptor tipo llave llamado mbNET.rokey y el cloud gateway mbXLINK.
¿Cómo ha cambiado el curso tu rutina diaria en MB Connect Line?
Hoy, en el equipo afrontamos el proceso desarrollo de una manera más sistemática y estructurada. La idea es: "primero pensemos en qué queremos hacer y luego hagámoslo". Tan simple como suena, las vulnerabilidades de software ocurren con una mentalidad incorrecta. En el pasado, muchos ingenieros embedded tenían asumido que los dispositivos embedded no eran objetivo de hackers. Ésta no es nuestra manera de pensar. En un mundo donde el mercado lo es todo, nosotros aún ponemos mucha atención a potenciales amenazas de seguridad. El análisis es el principal ingrediente. Primero la estrategia. Solo después de hacer una buena evaluación y definir una buena estrategia empezamos a construir el software.
¿Cuál es el beneficio para el cliente de MB?
Por lo que respecta a la autenticidad de los datos, nuestros clientes pueden confiar en productos aún más ciberseguros que en el pasado. No se trata solo de un beneficio de fiabilidad y seguridad para el fabricante de maquinaria, es también una ventaja competitiva para la marca de nuestro cliente. Sobre la usabilidad y la seguridad, seguimos un concepto de diseño coordinado para encontrar la mejor solución. Un ejemplo de buena práctica es el 'Secure Element', que puede encontrarse en los nuevos routers mbNET. Contiene la llave para un contenedor encriptado, con información crucial, como contraseñas, certificados o datos de usuario. La encriptación asegura que, aunque haya un robo físico, nadie puede entrar a los datos del contenedor.
'Security by Design' es un principio básico en nuestro proceso de desarrollo. Los últimos ciberataques en las noticias muestran una cosa: en el futuro habrá más ataques. Aquí en MB connect line queremos evitar que usted sea víctima de uno de estos ataques.
Más información
-
Nombre
Alexander Kamm -
Cargo
Responsable de Desarrollo Software -
Empresa
MB Connect Line