Mejor colaboración entre seguridad y desarrollo


Los equipos de seguridad y desarrollo deben dejar en claro por qué su segmento del ciclo de vida de desarrollo es relevante para los otros equipos en proceso.

Durante más de 10 años, he estado predicando la strategy de que la colaboración entre los equipos de seguridad y desarrollo es basic. Esto es especialmente cierto para los equipos que tienen diferentes partes interesadas y trabajan en zonas horarias y regiones geográficas. A pesar de mis esfuerzos por evangelizar el mensaje, sigo viendo ejemplos de mala comunicación que perjudica la búsqueda constante de equipos de seguridad organizacional.

Durante la última década, he seguido viendo un gran número de equipos de seguridad que utilizan documentos PDF como su modo estándar de comunicación para resaltar las vulnerabilidades para la reparación por parte de los equipos de desarrollo, pero esta práctica arcaica carece del contexto necesario para la compra del equipo de desarrollo -en y comprensión. Esto da como resultado que los equipos de desarrollo solucionen de manera inadecuada o que los equipos de desarrollo los ignoren por completo, ya que presentan una lista creciente de tareas y promesas a los clientes. Eso no significa que a los desarrolladores no les importe la seguridad más bien, la comunicación es el problema.

Reunir equipos para colaborar no es suficiente si no entienden cómo comunicarse de manera efectiva. Cada equipo debe hacer un esfuerzo para comunicar por qué su segmento del ciclo de vida de desarrollo es relevante para los otros equipos en proceso. Entonces, ¿qué pueden hacer los miembros del equipo de seguridad si desean que el desarrollo trabaje con ellos para solucionar vulnerabilidades? Un buen comienzo sería proporcionar a los desarrolladores un contexto con respecto a las vulnerabilidades que se están identificando, además de comunicar qué herramientas han estado utilizando para identificar estas vulnerabilidades, evitando a toda costa el PDF exportado.

En mi experiencia pasada, he comprobado una y otra vez que la colaboración tiene un impacto directo en el éxito de la organización, y hay datos que respaldan estas observaciones. De hecho, la colaboración efectiva tiene la capacidad de reducir el tiempo medio de reparación de vulnerabilidades (MTTF) hasta en un 44%, según la experiencia de Denim Team, lo que demuestra que esta necesidad no ha cambiado en la última década. Si bien algunos profesionales de la seguridad creen que la responsabilidad de corregir las vulnerabilidades depende completamente del equipo de desarrollo, deben recordar que la seguridad no es su única tarea. Al reducir la carga de trabajo del equipo de desarrollo a través de una comunicación más efectiva de las vulnerabilidades, los equipos de seguridad pueden ayudar a fomentar asociaciones de trabajo más sólidas, al tiempo que aceleran la reparación de vulnerabilidades.

Esta propuesta plantea la pregunta: ¿cómo pueden los equipos dispares cultivar una colaboración más fuerte? Primero, los equipos de seguridad deben desarrollar un conjunto limpio de vulnerabilidades para proporcionar a los desarrolladores. Hacer cosas como eliminar falsos positivos, priorizar vulnerabilidades y capturar un contexto suficiente son todos los pasos que deben tenerse en cuenta al crear una lista simplificada y fácil de entender. Una vez que el equipo de seguridad elabora una lista limpia de vulnerabilidades, debe determinar cuáles debe abordar el equipo de desarrollo. Como señalé anteriormente, los desarrolladores a menudo están inundados de tareas como escribir nuevas características y funciones, o corregir errores no relacionados con la seguridad, y para aumentar la colaboración, no deberían verse obligados a arreglar cosas que en realidad no necesitan ser arreglado Esto otorga más responsabilidad a los equipos de seguridad al hacerles priorizar las vulnerabilidades que desean entregar y garantizar que los equipos de desarrollo puedan solucionarlos.

Luego, después de determinar qué vulnerabilidades valen el tiempo de los desarrolladores, los equipos de seguridad deben agrupar las vulnerabilidades en defectos de software, asegurándose de evitar crear un nuevo defecto de program para cada vulnerabilidad que identifiquen, ya que esto puede comenzar a abrumar fácilmente a los equipos de desarrollo con los que trabajan . Esto es especialmente cierto porque la mayoría de las vulnerabilidades técnicas se solucionan fácilmente con un pequeño cambio de código, y al enviar demasiados defectos, los equipos de seguridad en realidad están desacelerando lo que debería ser un proceso relativamente fácil. Al agrupar las vulnerabilidades, los equipos de seguridad minimizan los pasos que los desarrolladores deben seguir, minimizando su carga de trabajo que puede ayudar a acercar a estos equipos.

Una mayor colaboración entre los equipos de seguridad y desarrollo es elementary, y necesaria si una empresa quiere tener éxito. Al agilizar la comunicación, los equipos pueden abordar las vulnerabilidades de manera más rápida y eficiente. Mantener la colaboración es un esfuerzo continuo para las organizaciones que deben priorizarse, y aunque existen herramientas que pueden ayudar, no es solo un problema tecnológico. Los equipos que trabajan, no compiten entre sí, deben ser un objetivo de la industria de la seguridad para mantener el éxito. Esta necesidad se ha vuelto cada vez más importante, ya que los actores de amenazas están constantemente encontrando nuevas formas de infiltrarse en los sistemas de seguridad, por lo que una fuerte colaboración en equipo es su primera y mejor defensa.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Dan Cornell, un experto en seguridad de aplicaciones reconocido a nivel mundial, tiene más de 20 años de experiencia en arquitectura, desarrollo y seguridad de sistemas de program basados ​​en la world-wide-web. Como Director de Tecnología y Director de Denim Team, Ltd., dirige el equipo de tecnología para ayudar a Fortune 500 … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia original