Falta un número alarmante de equipos de computer software …



La gran mayoría de los desarrolladores se preocupan por la seguridad y la consideran importante, pero muchos carecen de un líder dedicado en seguridad cibernética.

A pesar de las preocupaciones sobre la seguridad del software program, muchas empresas no han asignado un líder de seguridad cibernética para ayudar a proteger sus aplicaciones, un problema que solo empeorará a medida que la demanda de expertos en seguridad técnica se profundice en todo el mundo.

En datos publicados el 21 de noviembre, la firma de seguridad de software WhiteHat Stability descubrió que tres cuartos de los desarrolladores están preocupados por la seguridad de sus aplicaciones, y aproximadamente siete de cada ocho consideran que la seguridad es una consideración importante para el desarrollo, pero solo la mitad de estos equipos tener un experto en ciberseguridad dedicado. El «Estudio de seguridad del desarrollador», que produjo los datos, encontró que aproximadamente el 49% de los equipos de desarrollo carecen de un líder dedicado en seguridad cibernética y el 43% prioriza los plazos sobre la codificación segura.

«Si bien las preocupaciones de los desarrolladores sobre la seguridad de su código están en una trayectoria ascendente, está claro que la industria tiene un largo camino por recorrer», dijo Joseph Feiman, director de estrategia de WhiteHat Safety, en un comunicado. «Los desarrolladores están en primera línea cuando se trata de proteger a sus organizaciones de los ataques cibernéticos, y necesitan las herramientas y la capacitación adecuadas para manejar esta carga».

Los agujeros en la seguridad del software program reflejan el impacto del cambio de las empresas hacia metodologías de programación más ágiles. En el pasado, la mayoría de los dólares de TI fueron gastados por las organizaciones de TI reales, y aunque eso sigue siendo cierto, el presupuesto de los grupos que no son de TI, como DevOps, está creciendo, dice Greg Youthful, vicepresidente de ciberseguridad de la firma de seguridad Craze Micro.

En 2020, las empresas serán un «tener» o un «no tener» cuando se trata de seguridad, dice.

«AppSec, la seguridad en la nube y la seguridad de DevOps son muy factibles, pero toman nuevos modelos, no solo nuevas herramientas», dice Younger. «Los &#39que tienen&#39 administrarán bien AppSec, como la creación de seguridad en DevOps al proporcionar seguridad de contenedores y carga de trabajo automáticamente y administrar posturas de seguridad en la nube, incluso cuando están en espacios en la nube que la empresa no sabía que poseían. continuará intentando forzar a DevOps a usar modelos de seguridad más antiguos, en lugar de adaptarse, y perder oportunidades de innovación mientras es pirateado «.

Además de las presiones sobre las empresas y su capacidad para incorporar la seguridad en su desarrollo y operaciones, existe la escasez common de trabajadores con conocimientos en ciberseguridad. Las organizaciones que integran la seguridad en sus ciclos de vida de desarrollo generalmente tienen mejores resultados de seguridad, pero la escasez de trabajadores significa que tienen que pagar un alto precio para hacerlo, dice Anthony Bettini, director de tecnología de WhiteHat Safety.

«Las empresas que pueden pagar por personas con experiencia en AppSec lo hacen», dice. «Las empresas cuyos presupuestos no permiten esto le asignan el rol a alguien internamente o contratan a más jóvenes del exterior. El mejor enfoque probablemente depende de la organización en función de su presupuesto y escala de tiempo para los resultados que desean lograr».

Como era de esperar, más de la mitad de los profesionales de seguridad (52%) se han agotado en su trabajo, de acuerdo con el informe WhiteHat.

Las empresas también tienen que preocuparse por las nuevas amenazas que afectan el desarrollo de application, como bloquear sus interfaces de programación de aplicaciones (API) contra el abuso y las amenazas de seguridad. Más de una cuarta parte de las empresas han detectado intentos de reconocimiento en sus servidores API, que ponen a disposición datos y servicios para aplicaciones world wide web y móviles, según una encuesta de 100 asistentes realizada por CloudVector en Cyber ​​Security y Cloud Expo. Otro 16% no sabe si han sido atacados.

«La realidad es possible (que la cantidad de ataques es) mucho mayor dado que la mayoría de las organizaciones carecen de la capacidad de detectar estas amenazas», dijo Ravi Balupari, vicepresidente de ingeniería e investigación de amenazas en CloudVector, en una entrada de site. «La falta de visibilidad en las cargas útiles API es un punto ciego importante».

Desarrollar experiencia interna en estas amenazas de ciberseguridad tampoco parece ser una prioridad. Según la encuesta de WhiteHat, solo el 30% de los desarrolladores han recibido algún tipo de certificaciones de seguridad en sus trabajos actuales o anteriores.

Sin embargo, hay buenas noticias. La gran mayoría de los equipos de desarrollo, el 82%, dijo que escanea su software program al menos una vez al mes, según la encuesta.

contenido relacionado

Revisa El borde, La nueva sección de Dark Looking at para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Seguridad en el hogar: 20 consejos de ciberseguridad para sus trabajadores remotos«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Darkish Reading through, MIT&#39s Engineering Review, Popular Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más tips





Enlace a la noticia initial