Hoy en día, uno de los procedimientos más críticos, pero menos conocidos, en materia de ciberseguridad industrial es el de desarrollo seguro. Este artículo recoge todas las buenas prácticas para la creación de aplicaciones y equipos específicos para entornos industriales de manera segura. Aspectos de seguridad que debe tener en cuenta tanto el trabajo realizado durante el diseño (confidencialidad de la empresa y clientes, seguridad de los trabajadores…), como la seguridad que el propio producto diseñado debe presentar durante todo su ciclo de vida (gestión de vulnerabilidades, control de acceso, gestión de inputs/outputs…).
El objetivo de este artículo es abordar las buenas prácticas de desarrollo seguro, desde la perspectiva de la ciberseguridad industrial. Aunque las buenas prácticas tradicionales pueden ser aplicables a estos entornos, los aspectos fundamentales de safety y disponibilidad generan diferentes enfoques, fundamentalmente en aspectos relativos a la gestión de memorias y recursos, ciclos de gestión de actualizaciones y parches, etc.
Un pipeline CI/CD (Integración Continua/Despliegue Continuo) es una herramienta esencial en el desarrollo moderno de software, que permite automatizar y optimizar todo el ciclo de vida del desarrollo, desde la integración del código, hasta su despliegue en producción. El artículo tiene como objetivo explicar la seguridad en los pipelines CI/CD, motivando a los lectores a adoptar prácticas automatizadas que no solo optimicen el desarrollo de software, sino que también minimicen los riesgos asociados. Hay que tener presente que la automatización entraña ciertos riesgos si no se maneja con seguridad, ya que puede aumentar la superficie de ataque para los ciberdelincuentes. Así, se subraya la importancia de implementar controles de seguridad en cada etapa del pipeline, instando a los desarrolladores a tomar medidas proactivas para proteger su código, sus entornos, y en última instancia, sus productos finales.