Trabajo como contratista en el campo Seguridad de SI. Mi cliente actual me contrató para diseñar y aplicar una metodología para garantizar que los riesgos de seguridad se evalúen y aborden en todos los proyectos de TI. Además de esta asignación, mi cliente me preguntó ayer cuál era mi conocimiento del concepto de Seguridad por Diseño (SbD), si pensaba que se aplicaba en su organización y cómo mi misión contribuyó a esto. Respondí honestamente que, si bien tenía un entendimiento básico de lo que es SbD, no me sentía cómodo al darle una respuesta definitiva en el momento y que lo investigaría.
Lo que hice. Pero parece bastante difícil encontrar una definición concreta de SbD. Mi impresión es que, en la práctica, sé que hay un concepto real e importante detrás de estas palabras, que se utiliza principalmente como un argumento de mercadotecnia de moda que las personas ponen en sus presentaciones para complacer a la gerencia. Pero, ¿existen criterios concretos para evaluar si un proyecto / organización aplica el concepto SbD? ¿O es solo la idea de tener en cuenta los problemas de seguridad en cada aspecto del trabajo y dejar que uno decida cómo aplicar esto?