¿Los equipos de DevOps necesitan un abogado de la compañía en marcado rápido?



En el entorno regulatorio y legislativo real, las empresas y los individuos están expuestos a demandas por violaciones de seguridad, lo que resulta en multas significativas y termina la carrera.

Errar es humano, y los desarrolladores que escriben código erran tan a menudo como cualquier otro ser humano. El promedio de la industria para programadores, de hecho, es tanto como 70 errores por 1,000 líneas de código. Las pruebas buscan errores e intenta atrapar la mayor cantidad posible antes de que un producto salga al mercado.

Antes de lanzar sus aplicaciones, las compañías probarán la funcionalidad, ya que los errores en la funcionalidad podrían resultar en la insatisfacción del cliente y ser vergonzoso para la compañía. Esto podría tener un efecto negativo en las ventas y en la posición de mercado de la organización.

Sin embargo, las pruebas también deben realizarse en cuestiones de seguridad. Si bien el lanzamiento de una aplicación funcionalmente pobre puede ser vergonzoso y malo para las ventas, lanzar una aplicación vulnerable puede tener consecuencias mucho mayores. En el entorno regulatorio y legislativo real, las compañías, así como los individuos, están expuestos a demandas por violaciones de seguridad, lo que resulta no solo en multas significativas sino también en el remaining de las carreras.

Parece que casi todas las violaciones de datos se convierte en forraje para acciones legales. En uno de los casos más importantes en los últimos años, internacional cadena hotelera Marriott enfrenta numerosas demandas colectivas (algunos aún están pendientes) sobre una violación de datos en el que la información de unos 500 millones de registros de invitados terminó en manos de hackers. Los investigadores determinaron que la fuga de 2018 probablemente se debió a un troyano de acceso remoto que terminó en el servidor que contenía los registros, lo que permitió a los piratas informáticos tomar el handle de las cuentas de administrador.

El problema comenzó cuando Marriott adquirió la cadena hotelera Starwood y continuó utilizando su sistema de reservas. Entre el caos de tratar de controlar los datos de Starwood y el uso continuo de un sistema antiguo cargado de malware, y la eliminación de los trabajos de muchos miembros del personal de TI de Starwood, Marriott fue acusado de negligencia en la protección de sus datos, conduciendo a la ola de demandas. Se estima que la violación, incluidos los acuerdos, los honorarios legales, and many others., le ha costado a la compañía alrededor de $ 30 millones en costos directos, además de una multa de £ 99 millones impuesto por la Unión Europea bajo los estatutos de GDPR. Y eso no incluye el posible pérdida de ingresos debido a que los clientes se alejan de una cadena en la que los piratas informáticos han comprometido los datos de los clientes varias veces.

El caso de Marriott es uno de tantos. En otro ejemplo reciente, franquiciados que poseen tiendas Snap Fitness están demandando a la empresa matriz por exigirles que compren software de administración de clubes, que resultó ser defectuoso y los sometió a ataques de ransomware. Debido al código incorrecto que se vieron obligados a utilizar, «los franquiciados perdieron todos sus datos y la capacidad de operar sus clubes durante 13 días, lo que causó que todos los franquiciados de Snap Fitness sufrieran pérdidas significativas de ingresos, ganancias y miembros del club».

Las demandas no se limitan a socios tecnológicos insatisfechos. En un giro, los accionistas de la compañía están demandando a la empresa de soporte Zendesk por lo que alegan que es un intento de encubrir una violación de seguridad en 2016. Noticias de esa violación solo salió en octubre de 2019, y siguió a un pobre desempeño en los resultados financieros del segundo trimestre para la compañía. Al no revelar la violación, los inversores que compraron acciones en la empresa entre 2016 y la revelación de la violación fueron esencialmente defraudados, la demanda sostiene, porque es probable que la revelación de la infracción reduzca el precio de sus acciones. Los funcionarios de Zendesk aprovecharon el encubrimiento, dicen los demandantes, para «cobrar, vendiendo aproximadamente 409,000 de sus acciones de Zendesk de propiedad private, cosechando más de $ 32.7 millones en ganancias».

La demanda fue presentada recientemente, pero es possible que discuta no solo los aspectos de fraude de la acusación, sino también la naturaleza de la violación, que, como Zendesk es una empresa de program, puede incluir agujeros de seguridad en su program.

Acéptelo, los errores van a suceder, y en el entorno DevOps, es very important encontrar esos errores lo antes posible en el ciclo de desarrollo.

Sin embargo, muchos de los errores que buscan los equipos son los que afectan la funcionalidad del programa. La búsqueda de errores que podrían conducir a infracciones y ataques de piratas informáticos, aunque es aún más important, a menudo no tiene la misma prioridad. Un botón que hace lo incorrecto puede generar quejas de los clientes, junto con una buena dosis de vergüenza en las redes sociales, pero es poco possible que la compañía llegue a un tribunal que enfrenta una responsabilidad de decenas de millones de dólares. Una vulnerabilidad de seguridad que no se detecta, por otro lado, podría.

Cuando los equipos de DevOps están revisando la tubería, pueden invitar a alguien del departamento legal a la discusión, solo para asegurarse de que todos sepan lo que está en juego. No hay tiempo como el presente para evaluar sus DevSecOps, para asegurarse de que se haya hecho todo lo posible para encontrar cualquier problema. Ese es el diferenciador entre un traje de negligencia y ningún traje, y entre una multa del tamaño de una bancarrota y una palmada en la muñeca.

Contenido relacionado:

Shahar Sperling es el arquitecto jefe de HCL AppScan. Tiene 23 años de experiencia en desarrollo de software program profesional, pasó los últimos 13 años con el equipo de AppScan, desarrollando diversos productos y tecnologías. Ver biografía completa

Más suggestions





Enlace a la noticia initial