Un sector como el del juego necesita quizá de una ciberseguridad mucho mayor que la de otros sectores. Gestionan datos sensibles y tienen que cumplir con una legislación casi exclusiva. Hablamos con Daniel Puente, CISO de Cirsa, sobre los proyectos de ciberseguridad en los que está inmersa la compañía.
¿A qué están dedicando en la actualidad la parte principal del presupuesto de ciberseguridad de Cirsa?
En la actualidad cuando analizamos un presupuesto podemos ver como éste es muy heterogéneo. Lógicamente gran parte de este se dedica al EDR básicamente por el gran parque que tenemos en la compañía, pero si lo exceptuamos, podríamos establecer que el proyecto en el que más presupuesto se invierte es la securización del SDLC (Software Development Life Cycle) en todas sus etapas.
¿En qué área se está invirtiendo más este año?
Dejando de lado los proyectos que afectan a todas las áreas, como podría ser la eliminación del perímetro y cambio en el paradigma de la seguridad, si elegimos un área que más inversión esté recibiendo en la compañía señalaríamos al área de desarrollo de software.
¿Cuál es el proyecto qué más ha impactado en la compañía? ¿En qué ha consistido?
El proyecto que más impacto ha tenido en la compañía ha sido la integración de los procesos de DAST y SAST (Dinamic and Static Code Analysis). En empresas con un marcado ADN tecnológico, la corrección y eliminación de vulnerabilidades en el desarrollo se convierte en un proceso capital, es por esto que en la compañía se han establecido diversos procedimientos y políticas para llevar a cabo una generación de código segura y limpia.
¿Cuáles han sido los principales retos que se han encontrado durante todo el proceso de desarrollo del proyecto?
En un sector con cada día más presencia online no se puede dejar de lado la corrección y eliminación de vulnerabilidades, y cuando hablamos de ellas, no solo debemos centrarnos en las generadas en el propio proceso de desarrollo, si no también en las que acabamos siendo el sujeto paciente debido a defectos en librerías de terceros. La extendida presencia que tiene la compañía así como los diferentes productos en el mercado también hace que la solución deba ser adaptada por muchos equipos y basados en diferentes lenguajes, lo que suponía un reto para la organización. Esto obligaba a plantear una solución global, basada en metodología, procedimientos y políticas claras, apoyándose en una herramienta líder de mercado, pero sin caer en el error de creer que su implementación era suficiente para considerar que se gestionaba bien el SDLC.
¿Qué ventajas y beneficios han obtenido?
El principal beneficio en este proyecto para Cirsa ha sido el ahorro de costes, y no entendido únicamente como coste económico, si, sobre todo en coste de horas (que acaba derivando también en dinero). Está comprobado y existen numerosos estudios que establecen el ahorro en costes de forma exponencial en función de cuán antes se corrijan estos, por lo que poder hacerlo desde el desarrollo de código supone no ir engordando la factura de remedí acciones e incluso la enorme ventaja de poder detectar antes, corregir antes y en consecuencia, entregar producto antes. Leer entrevista completa en revistebyte