Cultura de Seguridad: el mayor reto de cambio corporativo

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

El mayor desafío que enfrentan las organizaciones para mejorar la seguridad de las aplicaciones en un mundo definido por software es la rápida expansión de DevOps y el énfasis en la integración continua y la entrega continua (CI / CD).

Sin dudas es un desafío que aparentemente pone a los desarrolladores en desacuerdo con la gente que es responsable de garantizar la seguridad de la información.

Los desarrolladores siempre priorizarán la velocidad sobre la seguridad, por lo que las soluciones de seguridad deben permitir que continúen entregando rápidamente características e integren las pruebas de seguridad de código y aplicaciones de forma transparente en el ciclo de vida del desarrollo de software.

Existe un preconcepto cultural que predispone al desarrollador frente al experto en seguridad, que es visto como un “demorador” de las soluciones.

Los desarrolladores sólo necesitan estar involucrados si hay vulnerabilidades para remediar, de lo contrario los procesos de exploración y prueba deberían estar implícitos en su actividad diaria.

Un gran componente de la solución a este reto es el cambio cultural que necesita ocurrir, tanto dentro de los equipos de desarrollo como dentro de los equipos de seguridad.

Los desarrolladores no necesitan convertirse en expertos en seguridad, pero necesitan reconocer la importancia de integrar las mejores prácticas de seguridad en todo el ciclo de desarrollo del software.

Los expertos en seguridad de la información deben entender cómo colaborar más efectivamente con los equipos de desarrollo y cómo compartir esas mejores prácticas para evitar fricciones en el seno del equipo de trabajo.

La empatía debe ser abrazada a través de los equipos y todos ellos necesitan compartir la responsabilidad general de seguridad.

En el pasado, los equipos de seguridad a menudo solo articulaban la parte del ‘cómo’ de las pruebas, y chocaba directamente con las prioridades de los equipos de desarrollo.

Una vez que los desarrolladores comprendan realmente el valor del proceso de remediación en línea y el hecho de que las vulnerabilidades pueden resolverse antes del despliegue de producción, será mucho más probable que se asocien con el equipo de seguridad.

El verdadero cambio cultural radica aquí precisamente, en establecer un marco de seguridad que continúe como parte del ciclo de vida de la aplicación.

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris