El 75% de los profesionales de AppSec ven una creciente brecha cultural entre AppSec y los desarrolladores


El 39% de los desarrolladores dijo que el equipo de seguridad es responsable de proteger las aplicaciones, mientras que el 67% de los profesionales de AppSec dijeron que sus equipos son responsables, según un nuevo estudio.

captura de pantalla-2020-09-21-141251.jpg

Fuente: ZeroNorth y Ponemon Institute

Las organizaciones se enfrentan a una creciente desconexión entre los equipos de seguridad y DevOps, lo que crea una tarea difícil para que los CISO implementen el cambio. El setenta y cinco por ciento de los profesionales de la seguridad de aplicaciones y el 49% de los desarrolladores creen que existe una división cultural entre sus respectivos equipos que podría aumentar el riesgo organizacional, según un nuevo estudio por el Ponemon Institute y ZeroNorth, un proveedor de orquestación de vulnerabilidades basada en riesgos en aplicaciones e infraestructura.

Contenido imprescindible para desarrolladores

La velocidad es la cultura de DevOps, que a menudo va en contra de la cultura de la seguridad: aversión al riesgo y rígida, según el estudio. Pero a medida que la transformación electronic se afianza, las dos entidades enfatizan que los equipos y desarrolladores de AppSec deben trabajar bien juntos. Dado que la metodología DevOps está experimentando una mayor adopción, los equipos están entregando software a velocidades cada vez más altas.

El Instituto Ponemon encuestó a 581 profesionales de la seguridad y 549 desarrolladores sobre la división cultural, sus implicaciones, el impacto de COVID-19 y el teletrabajo en la división y cómo salvarla.

VER:

Los 5 principales beneficios de DevOps

(TechRepublic)

Los hallazgos destacan tanto la entrega de program como los impactos de seguridad que resultan de la división cultural entre AppSec y los equipos de desarrolladores. Por ejemplo, más de la mitad de los desarrolladores (56%) dijo que AppSec sofoca la innovación, según el estudio.

Sin embargo, el 65% de los profesionales de AppSec dijeron que creen que a los desarrolladores no les importa proteger las aplicaciones en las primeras etapas del ciclo de vida del desarrollo de program.

AppSec y los desarrolladores deben compartir una cultura centrada en la entrega de aplicaciones seguras y desarrollar una comprensión compartida del riesgo, dijeron ZeroNorth y el Ponemon Institute.

Sin embargo, los equipos no están alineados en este frente. Solo el 35% de los desarrolladores dijeron que el riesgo de las aplicaciones está aumentando, mientras que el 60% de los profesionales de AppSec creen que esto es cierto, según el informe.

Los CISO deben empoderar a ambos grupos

«Como muestra esta encuesta, la división cultural está aquí hoy y se agravará a medida que las organizaciones avancen hacia DevOps, haciendo que el modelo tradicional y centralizado de seguridad sea obsoleto», dijo el CEO de ZeroNorth, John Worrall, en un comunicado. «Creemos que esto abre las puertas para que los CISO se conviertan en un pilar que respalde el puente entre AppSec y las culturas de desarrollo».

Si los CISO permiten una cultura que empodera tanto al desarrollo como a la seguridad para ejecutar sus prioridades, pueden transformar el status quo, que está sofocando la innovación, al tiempo que mejoran significativamente la seguridad, dijo Worrall.

La investigación «revela el serio impacto que AppSec y la división cultural de los desarrolladores pueden tener en la postura de seguridad de una organización», dijo Larry Ponemon, presidente y fundador del Ponemon Institute, en un comunicado.

Hay cinco pasos que ZeroNorth y Ponemon Institute recomiendan que las organizaciones deben seguir para ayudar a cerrar la brecha cultural:

  • Asegúrese de que se asignen recursos suficientes para garantizar que las aplicaciones estén protegidas en la fase de desarrollo y producción del SDLC

  • Aplicar prácticas de seguridad de aplicaciones de forma coherente en toda la empresa

  • Asegúrese de que los desarrolladores tengan el conocimiento y la habilidad para abordar las vulnerabilidades críticas en el desarrollo de aplicaciones y el ciclo de vida de producción.

  • Realizar pruebas durante todo el desarrollo de la aplicación y

  • Asegúrese de que los métodos de prueba escalen de manera eficiente de unas pocas a muchas aplicaciones.

Uno de los principales problemas que reveló la investigación es que los desarrolladores y los profesionales de AppSec no se ponen de acuerdo sobre qué función es responsable de la seguridad de las aplicaciones. El treinta y nueve por ciento de los desarrolladores dijo que el equipo de seguridad es responsable, mientras que el 67% de los profesionales de AppSec dijeron que sus equipos son responsables, según el informe.

Otro hallazgo es que AppSec y los desarrolladores encuestados admiten que trabajar juntos es un desafío, y los encuestados AppSec dicen que se debe a que los desarrolladores publican código con vulnerabilidades conocidas, según el informe. Por el contrario, los desarrolladores dijeron que la seguridad no comprende la presión de cumplir con sus plazos y la seguridad sofoca su capacidad para innovar.

La transformación electronic está presionando a las organizaciones para que desarrollen aplicaciones a velocidades cada vez mayores, lo que pone en riesgo la seguridad. El estudio encontró que el 65% de los desarrolladores encuestados dijeron que sienten la presión de desarrollar aplicaciones más rápido que antes de la transformación electronic, y el 50% de los encuestados AppSec estuvo de acuerdo.

El impacto de COVID-19 y el teletrabajo en la brecha cultural

Una cosa en la que ambos grupos están de acuerdo abrumadoramente es que el teletrabajo es estresante: el 66% de los desarrolladores y el 72% de los encuestados de AppSec. Solo el 29% de los desarrolladores y el 38% de los encuestados de AppSec dijeron que están muy seguros de que los teletrabajadores cumplen con los requisitos de privacidad y seguridad de la organización.

Además, el 74% de AppSec y el 47% de los desarrolladores encuestados dijeron que sus organizaciones eran muy efectivas para detener los compromisos de seguridad antes de COVID-19. Después de que comenzó la pandemia, solo un tercio de ambos grupos de encuestados dijo que su efectividad es alta, según el informe.

Ver también



Enlace a la noticia first