Sabesp adopta una solución para evaluar la seguridad y la calidad del software
La plataforma bugScout, desarrollada por Nalbatech, ha sido socia del equipo de seguridad de la información de la empresa de saneamiento básico Sabesp, que presta servicios a más de 300 municipios en el estado de São Paulo. La herramienta detecta vulnerabilidades y fallas de seguridad en aplicaciones de software durante su propio desarrollo o el de aplicaciones de terceros, para garantizar la adecuación de los sistemas a las políticas de la compañía.
Desde 2014, cuando se inició el proyecto, cualquier nuevo sistema que ingrese al centro de datos de la compañía ha sido sometido a un análisis riguroso del código fuente para detectar vulnerabilidades. Ya se han analizado más de 1,000 aplicaciones y los defectos más comunes encontrados en aplicaciones de terceros están relacionados con la exposición de información sensible, cifrado débil, incumplimiento de los límites de confianza y errores básicos en el código fuente.Daniel Bocalão, El gerente del Departamento de Conectividad y Seguridad de la Información (CIC) de Sabesp explica que el proyecto comenzó hace cuatro años con una primera versión que evaluaba solo los requisitos de seguridad. A finales del año pasado, con una actualización, la herramienta también comenzó a analizar la calidad y el rendimiento de cada nueva aplicación.
“Cualquier solicitud de mejora del módulo del sistema que surja debido a regulaciones o leyes, por ejemplo, pasa por la solución”, comenta el ejecutivo, en una entrevista con Computerworld Brasil.
La infraestructura de TI de Sabesp consta de una considerable variedad de sistemas para servir diversos procesos internos y externos. En las operaciones de campo, los dispositivos de Internet de las cosas (IoT) recopilan en tiempo real los datos sobre los servicios de agua y alcantarillado entregados a la población, lo que implica la identificación del consumo, cambios o desviaciones en el patrón de consumo, potencial de fuga, entre numerosas otras variantes, que producen una gran cantidad de datos que deben protegerse. Además, la empresa cuenta con sistemas de gestión administrativa, como facturación, CRM, control de activos, suministros y recursos humanos, todos pasan las pruebas de vulnerabilidad requeridas por la empresa.
Bocalão comenta que la principal ventaja es conocer los riesgos antes de la producción. “Pudimos anticipar vulnerabilidades y corregirlas en el momento del desarrollo. Los resultados son intangibles, ya que podemos mostrarle al proveedor que es vulnerable y evitar problemas en el futuro. La sensación es que estamos más seguros ”, agrega.