6 formas en que los equipos de DevSecOps deben responder
- Seguridad Inteligente
A medida que las aplicaciones se vuelven más interconectadas, se vuelven más complicadas y más críticas. Estas tres C (conectadas, complicadas y críticas) dificultan la seguridad. Estas condiciones están culminando en lo que se llama “una tormenta perfecta”.
Entonces, ¿cómo deberían responder los equipos de DevSecOps al aluvión aparentemente interminable de nuevas vulnerabilidades y ataques?
1. Practique la seguridad bajo el sol
Esta es una actitud que da más transparencia a los temas de seguridad internamente. Adoptar una cultura de retrospectivas intachables puede garantizar que los empleados se sientan cómodos al plantear problemas dentro de su equipo.
La concientización sobre ciberseguridad ciertamente requiere un esfuerzo comunitario que requiere una comunicación transparente. Es necesario sacar a la luz las amenazas potenciales para aplastar las vulnerabilidades antes de que sean explotadas.
2. Traducir requisitos de alto nivel
Las pautas de seguridad emitidas por organismos como NIST e ISO son esenciales para tener en cuenta. Sin embargo, estos requisitos de alto nivel a menudo no se traducen al desarrollador de base, que necesita consejos más realistas sobre cómo afectan estas pautas.
3. Cambio inteligente
Cambiar la seguridad a la izquierda a menudo se habilita con herramientas que responsabilizan al código de posibles amenazas mediante el análisis automatizado. Sin embargo, no todas las herramientas de seguridad son fáciles de usar para los desarrolladores y pueden introducir ineficiencias a escala. En lugar de cambiar a la izquierda, se aboga por un "cambio inteligente" para introducir seguridad en los momentos donde es más eficiente. “
4. Evite pasos adicionales
La seguridad se debe atender a las herramientas y los procesos específicos que se utilizan. Pero eso requiere responder ciertas preguntas como, ¿dónde se encuentra un equipo de desarrollo de software en su viaje? ¿Son cascada o Agile? ¿Cómo se comporta cada canalización de CI/CD?
5. Tómese la seguridad en serio
Es cierto que el cambio cultural es una evolución lenta y la mejor manera de avanzar será agregar prácticas y tecnologías progresivamente con el tiempo.
6. Actualizar herramientas obsoletas
Las herramientas de seguridad tradicionales de DevSecOps están desactualizadas y son menos precisas en comparación con las tecnologías más nuevas, como las pruebas de seguridad de aplicaciones interactivas (IAST) y la autoprotección de aplicaciones en tiempo de ejecución (RASP). La precisión, la velocidad y la escalabilidad serán características importantes para las herramientas de automatización de seguridad que no requieren intervención humana adicional ni producen demasiados falsos positivos.
Más información
CyberRes es la unidad de negocio de Micro Focus que busca ayudar a los clientes a mejorar su ciberseguridad y acelerar la confianza, la fiabilidad y la supervivencia en tiempos de adversidad, crisis y volatilidad empresarial. ¿Quieres conocer más sobre CyberRes? Puedes consultar este enlace