¿Son los desarrolladores su primera línea de riesgo de seguridad o defensa?
- Seguridad Inteligente
Cada organización en el planeta, ya sea pública o comercial, se enfrenta a un desafío continuo: existir en un espacio cada vez más digital. Los productos pasados deben transformarse para satisfacer las expectativas digitales de sus clientes, y los nuevos productos deben construirse teniendo en cuenta los marcos de "lo primero en lo digital". Después de todo, si no cumplen con estas expectativas, es casi seguro que hay un competidor listo para aprovechar la oportunidad.
Si nuestros datos deben permanecer seguros, debemos implementar una nueva forma de trabajar. Los CIOs y CISOs deben considerar cuidadosamente si sus equipos de desarrollo son de hecho la primera línea de riesgo de violación de datos en la organización o los campeones de seguridad, la verdadera "primera línea de defensa" de su compañía contra los ataques cibernéticos. Si no son lo último, ciertamente podrían serlo.
He aquí una lista de verificación de codificación segura para ayudar a los CIOs y CISOs a identificar si sus equipos de desarrollo están verdaderamente equipados para ser campeones de la codificación segura, ayudando a innovar con un código más rápido, mejor y más seguro (o, de hecho, si necesita más programa de seguridad robusto):
1. ¿Hay un reconocimiento en su nivel ejecutivo de que la seguridad de la red tradicional ya no es suficiente?
En estos días, asegurar la capa de red utilizando medidas de seguridad tradicionales simplemente no es lo suficientemente bueno (y, seamos sinceros, rara vez tiene éxito) incluso contra piratas informáticos semi-profesionales.
La seguridad de la aplicación web es tan importante como la seguridad de la red; ignorar las medidas fundamentales y protectoras de AppSec podría dejarlo bien y verdaderamente abierto a una violación.
2. ¿Estás considerando la seguridad desde el principio?
El enfoque actual de la seguridad de la aplicación utiliza herramientas que se centran en moverse de derecha a izquierda en el ciclo de vida del desarrollo de software (SDLC). Esto, por diseño, apoya un resultado de detección y reacción. Esto significa que los equipos de seguridad buscan y detectan el código de vulnerabilidades que ya está escrito y luego reaccionan para corregirlos. Según el Instituto Nacional de Estándares y Tecnología (NIST), es 30 veces más caro detectar y corregir vulnerabilidades en el código comprometido que prevenirlas tal como están escritas en el IDE.
3. ¿Realiza realmente el esfuerzo de desarrollar habilidades de seguridad, o simplemente está alimentando conocimiento?
La gran mayoría de las soluciones de capacitación en seguridad (en línea y en el aula) se centran en desarrollar conocimiento en lugar de desarrollar habilidades prácticas. Para que los desarrolladores prosperen y se comprometan a escribir códigos seguros, necesitan acceso regular a un aprendizaje práctico que los aliente activamente a aprender y desarrollar sus habilidades en un entorno real. Necesitan aprender sobre las vulnerabilidades recientemente identificadas, en código real, y ser capaces de trabajar en sus propios lenguajes / marcos. Esta experiencia de aprendizaje debería ayudarles a comprender cómo localizar, identificar y corregir las vulnerabilidades conocidas en el código en el que están trabajando activamente en el curso de sus trabajos.
4. ¿Está midiendo sus habilidades de codificación segura con métricas en tiempo real?
Un paso vital para garantizar que se cree una mentalidad de seguridad en primer lugar dentro de un equipo de desarrollo es recopilar y revisar la evidencia. Las métricas buscan demostrar al desarrollador y a su organización que su arduo trabajo está dando sus frutos, y las habilidades de codificación segura están mejorando.
5. ¿Qué tan seguro está de que algún proveedor externo está utilizando activamente técnicas de codificación segura?
Muchas organizaciones deciden subcontratar el trabajo de desarrollo. En el mejor de los casos, la única forma de seguridad que una organización recibirá en relación con la seguridad es una declaración en el contrato que requiera que el entregable sea "seguro".
El escenario más común es que las vulnerabilidades sean detectadas por especialistas de seguridad dedicados.
6. ¿Sus desarrolladores conocen las debilidades de seguridad más comunes?
Más del 85 por ciento de las vulnerabilidades de las aplicaciones web explotadas se atribuyen a solo 10 vulnerabilidades conocidas: las 10 principales de OWASP. Como mínimo, su capacitación en seguridad de aplicaciones debe cubrirlas, además de muchos más tipos de vulnerabilidades
7. ¿Tiene campeones de seguridad internos?
Toda organización de desarrolladores debería invertir en un campeón de seguridad: alguien que asumirá la responsabilidad de un estándar de seguridad dentro del equipo de desarrollo. Su propósito es ser un punto de contacto de soporte para cualquier persona que tenga preguntas relacionadas con la seguridad, así como convertirse en el principal defensor de las mejores prácticas de seguridad.
8. ¿Ha invertido en herramientas para que sus desarrolladores faciliten la codificación segura?
Si su organización es una en la que se practica un desarrollo ágil, o de hecho se enfrenta a actualizaciones frecuentes de las aplicaciones creadas por la empresa, automatizar partes de su seguridad es una de las únicas formas de mantenerse al día con el ritmo frenético y el volumen de trabajo.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.
