Uno de los componentes en los que se desglosa la «Estructura de Descomposición de Riesgos» es el tiempo que comprende (a) el impacto del tiempo y (b) la fuerza mayor; que pueden ser tratados por el testing de seguridad.
En los proyectos en los que identificas escenarios que deben ser cubiertos con testing de seguridad, gestionar el tiempo es uno de los aspectos fundamentales para poder garantizar la calidad y la integridad de los sistemas que debemos testear.
Sin embargo, debemos considerar factores imprevisibles, como los denominados «eventos de fuerza mayor», que pueden alterar significativamente el sprint, comprometiendo la ejecución de pruebas de procesos críticos y afectando los resultados del proyecto.
En este tipo de situaciones, la capacidad de anticipar, mitigar y gestionar todos los riesgos que podamos identificar se convierte en una necesidad estratégica para el equipo de proyecto que busca proteger los activos digitales.
El concepto de «fuerza mayor» abarca los eventos impredecibles y aquellos que están fuera del control humano, ejemplos de los mismos pueden darse con desastres naturales, interrupciones en los servicios esenciales, emergencias globales o conflictos geopolíticos.
Desde la perspectiva del testing de seguridad, estos eventos pueden provocar significativos retrasos en nuestros procesos de pruebas, afectando tanto los plazos como la calidad del producto final que debemos presentar / entregar al final de nuestro sprint.
Hay muchos desafíos que deben enfrentar y superar los equipos en relación a estos riesgos.
Los impactos de la fuerza mayor se manifiestan principalmente en dos dimensiones críticas: (1) la continuidad operativa y (2) el cumplimiento de los cronogramas.
En términos operativos, la falta de acceso a entornos de prueba (y ni que hablar a entornos de pre producción o producción), herramientas y recursos clave puede paralizar las actividades de testing que debamos llevar a cabo. Esto no solo retrasa el sprint, sino que también eleva el riesgo de lanzar productos con vulnerabilidades no identificadas, exponiendo a la organización a posibles brechas de seguridad.
En relación al cronograma, los eventos imprevistos que ocurran, obligan a reorganizar tareas y prioridades, afectando la planificación del sprint y, en muchos casos, incrementando los costos del proyecto debido a la acumulación de actividades y la necesidad de recursos adicionales.
En marcos scrum, donde los proyectos se gestionan mediante iteraciones cortas y entregas incrementales, el impacto de la fuerza mayor puede ser aún más aún significativo.
Los sprints planificados pueden verse afectados e interrumpidos, retrasando tanto las entregas parciales como los objetivos generales del proyecto en los sucesivos sprints. En este contexto, es sumamente importante integrar estrategias de resiliencia que permitan a los equipos mitigar estos efectos adaptándose rápidamente a los eventos cambiantes.
Algunos medidas que podríamos estar tomando a los fines de gestionar los riesgos, se encuentran la planificación de la continuidad operativa, la adopción de infraestructuras resilientes basadas en la nube, la automatización de pruebas de seguridad y el establecimiento de protocolos claros para responder ante emergencias. Estas estrategias permiten mejorar los tiempos de recuperación garantizando que las pruebas críticas puedan ejecutarse incluso en condiciones adversas.
En conclusión, el tiempo y los eventos de fuerza mayor son factores que pueden alterar la dinámica del testing de seguridad, para lo cual todo ésto requiere no solo planificar y preparar, sino también tener capacidad de adaptarnos a entornos cambiantes y ser resilientes. Este enfoque es esencial para lograr una seguridad integral que no dependa exclusivamente de la tecnología, sino también de la capacidad de respuesta ante los desafíos externos.
Fuente de Inspiración: ISTQB-CT-SEC_Syllabus_v1.0_2016
