Cómo los desarrolladores pueden adoptar un enfoque más proactivo para la seguridad
- Seguridad Inteligente
Los desarrolladores tienden a quedar atrás cuando se trata de la seguridad de las aplicaciones, pero los datos recientes muestran que a los desarrolladores, de hecho, les preocupa la seguridad.
Tomemos medidas de mitigación, por ejemplo. Los desarrolladores no tratan de manipular el sistema rechazando los hallazgos como falsos positivos o mitigados por el diseño.
Aún así, los profesionales de TI y desarrollo no deberían esperar a que ocurra una brecha importante para mejorar sus habilidades de seguridad. Aquí hay algunas maneras en que los desarrolladores pueden cambiar su enfoque de reactivo a proactivo.
Busque opciones de formación alternativa
La ruta educativa para los profesionales de TI y desarrollo presenta algunos problemas graves, especialmente en lo que respecta a la seguridad. Un sorprendente 76 por ciento de los líderes de TI informan que no se les exigió hacer un solo curso de seguridad en la universidad. Muchos profesionales de la tecnología acceden al mercado laboral sin una educación en seguridad cibernética, lo que les exige aprender sus habilidades más importantes en el trabajo en lugar de en el aula.
En todas las industrias, el aprendizaje en línea se ha convertido en uno de los recursos más valiosos para los profesionales que trabajan y desean aprender nuevas habilidades. La educación en línea es flexible, personalizada y cubre una amplia gama de temas. El impacto es claro: simplemente completando cursos básicos de aprendizaje en línea sobre vulnerabilidades comunes puede ayudar a un desarrollador a mejorar su tasa de reparación en un promedio de 19,4 por ciento.
Muchas veces, los desarrolladores se ven obligados a tomar cursos de formación por sus propias manos. El 68% de los responsables de la toma de decisiones de TI informan que sus organizaciones no brindan formación de seguridad adecuada, por lo que deben encontrar una manera de luchar por los recursos educativos.
Tenga cuidado con el código abierto y el riesgo de los componentes
La industria se enfrenta un dilema para asegurar la cadena de suministro del software. A medida que los procesos de desarrollo se automatizan cada vez más, mucho depende de cuánto los equipos de desarrollo puedan unir componentes de código abierto con su propio código escrito a mano. Esta práctica aumenta la eficiencia y reduce la deuda técnica, pero abre nuevas puertas para los piratas informáticos.
Los componentes de código abierto generalmente tienen su propio conjunto de vulnerabilidades y riesgos. El año pasado, la mayoría (87.6 por ciento) de las aplicaciones Java sufrieron al menos una vulnerabilidad basada en componentes. Muchas organizaciones no conocen estas vulnerabilidades o ni siquiera saben qué componentes componen sus productos de software.
Más allá de la falta de conciencia, la consistencia en el parche también es un problema. Una vez que un equipo de desarrollo integra componentes de código abierto en su código, rara vez se actualizan cuando se lanzan los parches de seguridad. Los atacantes con frecuencia se aprovechan de las vulnerabilidades recientemente divulgadas para atacar a las víctimas que no se actualizan lo suficientemente rápido, por lo que una revisión completa es crucial.
En pocas palabras, los equipos deben aplicar una mejor disciplina al uso de los componentes del código. Encontrar nuevas formas de monitorear, rastrear y administrar los componentes de código abierto en el código es una de las actividades más impactantes en la que los desarrolladores pueden participar para garantizar un software seguro.
Aproveche los equipos de seguridad como consultores
A medida que las prácticas de DevOps se extienden y más organizaciones requieren que los desarrolladores realicen sus propias pruebas de seguridad, la función del equipo de seguridad está evolucionando. Los profesionales de la seguridad se están convirtiendo cada vez más en consultores que pueden mejorar las habilidades de los desarrolladores con consejos sobre mejores prácticas, planificación estratégica y entrenamiento individual. Aquí es donde entra en juego la idea de DevSecOps.
Para cerrar la brecha entre los equipos de desarrollo y seguridad, las actitudes deben ajustarse en ambos lados. Los equipos de seguridad deben comenzar a acercarse a los desarrolladores con una actitud de habilitación y los desarrolladores deben estar dispuestos a formar equipos con colegas que tengan una mentalidad de hacker y experiencia en comprender las amenazas a la organización.
Los desarrolladores que ven a los expertos en seguridad como un recurso en lugar de un oponente pueden realizar mejoras significativas en la seguridad de sus carteras de aplicaciones de software. Los desarrolladores que emparejaron sus hallazgos de vulnerabilidad con el coaching de remediación de los expertos en seguridad vieron una tasa de reparación mejor del 87.6 por ciento que aquellos que no recibieron coaching.
Cuando se trata de eso, tanto los equipos de seguridad como los de desarrollo deberían tratar de ser más proactivos. Si ambas partes se comprometen a romper los silos y aprender unos de otros, descubrirán que DevSecOps es la mejor manera de enviar software de manera rápida y segura.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.