Modelado de amenazas como práctica de DevSecOps

  • DevOps

malware codigo malicioso

Los ingenieros de software están siempre bajo presión para construir más software, más rápido. Al mismo tiempo, hay una creciente presión regulatoria y de mercado para que el software sea seguro y cumpla con los requisitos de privacidad de datos de los usuarios y los reguladores.

Esta dinámica a menudo pone a los ingenieros de software en desacuerdo con los equipos de seguridad de las aplicaciones o de los productos. De hecho, el 81% de los equipos de desarrolladores de las grandes empresas han lanzado aplicaciones con código inseguro, según un investigador, y la mitad lo hace de forma habitual. La empresa argumenta que los desarrolladores y los arquitectos de seguridad necesitan una mejor relación, y yo no podría estar más de acuerdo.

Históricamente, el modelado de amenazas era un proceso estático, lento y manual que se realizaba en pizarras, como parte de un taller dirigido por un experto en seguridad externo que carecía de conocimientos institucionales sobre el funcionamiento interno de la empresa. Sin embargo, ha evolucionado de forma espectacular hasta convertirse en una práctica de seguridad automatizada y fácil de implementar que puede incorporarse al ciclo de desarrollo y seguridad desde el principio, lo que permite a las organizaciones empezar por la izquierda.

Mediante el modelado automatizado de amenazas, se alivia la carga de trabajo de seguridad tanto para los arquitectos como para los ingenieros de seguridad. A su vez, las empresas están mejor posicionadas para seguir el ritmo de los lanzamientos de software en curso, ya que una plataforma automatizada sugiere mejoras de seguridad a medida que una aplicación evoluciona. Por lo tanto, se elimina el cuello de botella de la fase de lanzamiento que suele crearse durante la etapa de pruebas, ya que los requisitos de seguridad se identifican antes del desarrollo, lo que significa que el riesgo se gestiona incluso antes de escribir una línea de código. Por todo ello, debería ser evidente el ahorro de tiempo y costes que supone el modelado de amenazas.

Ningún desarrollador o especialista en seguridad quiere que un producto defectuoso salga al mercado, por lo que tiene sentido comercial adoptar un nuevo enfoque que conduzca a mejores resultados. Las empresas que introduzcan el modelado de amenazas como parte de sus procesos de desarrollo y ciberseguridad estarán en camino de integrar un verdadero sistema DevSecOps en la empresa, transformando la relación entre estos dos departamentos.

Una vez equipados con las herramientas y los conocimientos, ofrecer un diseño seguro será algo natural para los desarrolladores y se creará una nueva cultura de colaboración. En esencia, cuanto más se le dé a los equipos la supervisión y la responsabilidad de los defectos de diseño del software, más fácil será reconocer lo vitales que son estas comprobaciones preliminares.

Del mismo modo, llega una etapa de crecimiento empresarial en la que la mentalidad de "la seguridad primero" y "el comienzo a la izquierda" son esenciales para mantener la gestión de los proyectos empresariales en el buen camino, y esto se vincula a la cultura. A medida que el índice de escala de una empresa comienza a aumentar y el ritmo de despliegue del software debe acelerarse en consonancia con la demanda de los clientes y la competitividad del mercado, descubrir fallos al final del proceso de diseño simplemente no es una opción. 

Con los desarrolladores y los equipos de seguridad responsables de grandes cantidades de código, la resistencia del producto en el momento de la entrega es crucial y garantizar una sólida cultura de DevSecOps es la ruta hacia el éxito.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.