Superar la comunicación entre la seguridad y la empresa …



La seguridad de las aplicaciones en un mundo de DevOps requiere más que un gran trabajo en equipo entre el own de seguridad, desarrolladores y operaciones.

A medida que los equipos de seguridad de aplicaciones buscan mejorar sus prácticas para tener en cuenta la cadencia de lanzamiento de application rápido establecida por DevOps y los procesos de desarrollo ágiles, la colaboración ha sido el nombre del juego. Se ha pedido a los líderes y profesionales de la seguridad que se integren mejor con los desarrolladores y los profesionales de operaciones para simplificar la forma en que la seguridad se relaciona con las prácticas de entrega de software.

Fomentar relaciones estrechas con desarrolladores y operaciones ayudará idealmente a los equipos de seguridad a proporcionar herramientas que tengan sentido dentro del entorno de trabajo de DevOps, que automaticen las tareas de prueba de seguridad y que validen y aseguren sin problemas la infraestructura en la nube que cambia rápidamente y que respalda los entornos de desarrollo y producción. Además, la colaboración establece un canal de comunicación para la seguridad para educar a los equipos de DevOps sobre cómo transformar la forma en que administran los riesgos a lo largo del ciclo de vida del software.

Pero para lograr todos estos objetivos, a menudo hay un gran vacío en las relaciones que las organizaciones de seguridad descuidan en sus esfuerzos de colaboración de DevSecOps, y eso es con la empresa, tanto a nivel ejecutivo como entre los propietarios de aplicaciones.

«Cuando desarrollamos nuestro proceso y procedimientos, también tenemos que integrarnos como grupo de seguridad en el negocio», dice Brad Causey, director ejecutivo de Zero Day Consulting, una empresa de consultoría de seguridad de aplicaciones y orador de el curso intensivo de ciberseguridad que se llevará a cabo por Dark Reading through durante Interop Digital a principios del próximo mes. «Así que tenemos que ser comprensivos, implicados e integrados desde la primera vez que se sientan y empiezan a hablar sobre los requisitos (de la aplicación) … El equipo de seguridad tiene que participar en eso».

Este tipo de mentalidad de pensamiento de diseño para garantizar el éxito de DevSecOps es un tema importante en el «Informe de capgemini worldwide DevSecOps Insights 2020, «que la consultora lanzó hace unas semanas. Los expertos de Capgemini explicaron que los equipos de alto rendimiento tienen un 50% más de probabilidades de incorporar la seguridad en las etapas de diseño y construcción del desarrollo de application que los equipos del último cuartil.

Pero un gran obstáculo que se interpone en el camino para lograr esto es una brecha de colaboración entre la seguridad y la empresa que ha impedido que los programas de DevSecOps nacientes progresen más allá del último peldaño de la madurez. He aquí por qué, según Causey.

«Realmente tienes que tener cierta aceptación y al menos cierto nivel de comprensión y educación en el lado comercial porque ellos son los dueños de estas aplicaciones. Si estoy en un banco grande, por ejemplo, el departamento de hipotecas es propietario de la solicitud de hipoteca en línea, » el explica. «Por lo tanto, son responsables no solo de producir la aplicación, sino también de comprender y dirigir el trabajo de gestión de riesgos asociado a ella».

Estos propietarios de aplicaciones impulsan las prioridades del equipo de DevOps, por lo que si la seguridad no está recibiendo un error en sus oídos, no importa qué tan buena sea la relación que tenga la seguridad con los desarrolladores: los desarrolladores marcharán al ritmo establecido por estas partes interesadas del negocio. .

«He visto esto un millón de veces a lo largo de mi carrera en el que hacíamos una prueba de penetración en una aplicación internet, volvíamos al desarrollador y le decíamos:» Está bien, aquí están las vulnerabilidades que encontramos «, y van a diga: «Bueno, eso es genial, pero estoy trabajando 80 horas esta semana en esta nueva versión que tiene que salir con esta nueva funcionalidad. Entonces, ¿en qué quieres que me concentre? &#39″, Dice Causey.» Bueno, esa no es mi decisión, ¿verdad? Eso depende de la unidad de negocio y del patrocinador de la aplicación «.

Esta es probablemente una de las principales razones por las que, incluso en los equipos de DevSecOps, alrededor del 69% de los profesionales de la seguridad dicen que todavía es difícil lograr que los desarrolladores prioricen realmente la corrección de errores, según el reciente «Mapeo del panorama de DevSecOps«informe de la encuesta de GitLab.

En su próxima sesión durante Interop Electronic, «Hacer que las aplicaciones sean seguras en un mundo DevOps,« Causey se adentrará en la dinámica de la desconexión entre la seguridad y las partes interesadas del negocio y ofrecerá consejos sobre cómo superarla. El primero de ellos es que el CISO debe ser el jefe de ventas y el oyente para que las partes interesadas del negocio accedan al programa AppSec y relacionen los objetivos de AppSec con las prioridades comerciales.

«Están en una posición única porque tienen un asiento en la mesa (de la suite C)», dice Causey. «(Como pen tester), no tengo ese puesto y tampoco el gerente de seguridad o el chico de appsec o cualquier practicante que sea. Por lo tanto, los CISO deben aprovechar el hecho de que tienen una audiencia sólida de personas influyentes dentro de la organización vender el programa «.

Cuando llega el momento de entregar la gestión del programa a los profesionales de la seguridad, todo el equipo también debe respaldar ese trabajo de ventas temprano con métricas y soporte que agreguen valor y lo demuestren a las partes interesadas del negocio. Esto significa mostrar una reducción no solo en las vulnerabilidades, sino también en el tiempo y los recursos que necesitan todos para abordarlas.

Luego, a medida que crecen las relaciones, el CISO aún debe actuar como embajador para administrar la política y traducir la información sobre ciberseguridad al lenguaje comercial. Esto es very important cuando surge inevitablemente la fricción cuando todos intentan encontrar el equilibrio entre la gestión de riesgos y la entrega de funciones, explica Causey.

«Esa gente habla un idioma diferente, y queremos al CISO en nuestro bolsillo trasero como embajador cuando nos encontramos con problemas como ese», explica.

Ericka Chickowski se especializa en cobertura de tecnología de la información e innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor parte de una década y escribe regularmente sobre la industria de la seguridad como colaboradora de Dim Reading through. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic