Las preocupaciones más apremiantes que enfrentan los CISO en la actualidad



La integración de la seguridad en el ciclo de vida del desarrollo de computer software crea más visibilidad, pero los CISO aún deben estar al tanto de las amenazas serias en el horizonte, incluso si son en gran parte desconocidas.

Dado que el software es uno de los activos más valiosos en los negocios hoy en día y DevOps en el asiento del conductor para las canalizaciones de application, los CISO se enfrentan a una serie de desafíos con respecto a la seguridad e integridad de su organización. El rol y la visibilidad standard de los CISO han seguido evolucionando porque la seguridad corporativa ya no es simplemente agradable, es una parte integral del negocio, un imperativo. Esta realidad ahora coloca a los CISO en la posición poco envidiable de comprender y comunicar rápidamente cuánto riesgo está dispuesto a aceptar su empresa y hacer que los equipos actúen en consecuencia.

Divisiones culturales = más riesgo
A medida que se acelera el apetito por el software program y avanza la sofisticación de la seguridad de las aplicaciones, todos los miembros de una empresa deben estar en sintonía sobre su postura de riesgo y cómo afecta a los esfuerzos de seguridad en curso. Ya sabemos que esto no está sucediendo. Si bien DevOps ha revolucionado el desarrollo de software package en términos de velocidad, capacidad y agilidad, los desarrolladores y los equipos de seguridad simplemente no comparten una visión común o un objetivo unificado sobre cómo llevar el software al mercado de forma rápida y segura. Investigación reciente de Ponemon Los desarrolladores encontraron que la seguridad es un cuello de botella para la innovación y la velocidad, mientras que los profesionales de la seguridad creen que los desarrolladores continúan priorizando los tiempos de entrega sobre la calidad.

La tecnología está ahí, pero los problemas culturales (y humanos) están ralentizando el proceso. Los CISO tienen el desafío de encontrar una manera de adaptar los programas de seguridad a las necesidades del cliente y los objetivos comerciales alineando las estrategias comerciales y de seguridad. Ya sabemos que la integración de las pruebas de seguridad en una etapa anterior del ciclo de vida del desarrollo de software program (SDLC) puede ayudar a mitigar el riesgo y también hace que los desarrolladores sean mucho más productivos. Los CISO pueden ayudar a cerrar la brecha cultural al lograr sus objetivos de gestión de riesgos y al mismo tiempo ayudar a sus socios de desarrollo a tener más éxito.

La transformación electronic necesita escalabilidad y continuidad
Con la transformación electronic acelerando los ciclos de desarrollo, la seguridad no puede considerarse una barrera para la velocidad. Recuerde, los autos tienen frenos para que puedan ir rápido. Necesitamos asegurarnos de que el software también pueda desarrollarse rápidamente, protegido por la seguridad de la aplicación y no obstaculizado por ella. Desafortunadamente, muchos procesos de seguridad continúan siendo manuales en la actualidad. Las herramientas de prueba proporcionan datos enormes, todos los cuales deben correlacionarse y priorizarse. Estas tareas llevan tiempo y los CISO a menudo tratan con más datos de los que tienen personas para analizarlos. Para garantizar que sus marcos de gobernanza de seguridad existentes, incluidas las herramientas, los procesos y las políticas, puedan mantenerse al día, los CISO deberán continuar construyendo un puente a través de la brecha al empoderar a sus equipos de desarrollo con los recursos y el apoyo adecuados.

Para escalar correctamente la seguridad, las organizaciones deben reducir los procesos manuales adoptando la automatización SDLC y el escaneo continuo. Esto da como resultado una reparación más rápida y una mejor seguridad normal de la aplicación. La orquestación también es importante. Con la orquestación adecuada, las vulnerabilidades se priorizan y refinan para su corrección. Los CISO son clave en la creación de este componente del «puente» porque los procesos como la automatización y la orquestación pueden ahorrar tiempo a los desarrolladores al consolidar unidades de trabajo y convertir los hallazgos en un lenguaje que entiendan.

El presente y el más allá
La integración de la seguridad en el SDLC ayuda a crear más visibilidad, pero los CISO aún deben estar al tanto de las amenazas serias en el horizonte, incluso si son en gran parte desconocidas. Aún están por verse las secuelas de la pandemia, pero ya ha tenido un impacto importante tanto en la seguridad como en el desarrollo. El cambio al teletrabajo y el uso de más aplicaciones basadas en la nube ha disminuido significativamente la seguridad de las aplicaciones de software package. Según la misma investigación de Ponemon mencionada anteriormente, tanto los profesionales de la seguridad como los desarrolladores no confían en que los teletrabajadores cumplan con los requisitos de seguridad y privacidad. De hecho, solo un tercio de ambos grupos cree que sus organizaciones están deteniendo o reduciendo eficazmente las vulnerabilidades o vulnerabilidades de seguridad en las aplicaciones de software package.

A medida que el futuro continúa desarrollando giros inesperados, los CISO deben mantener una estrecha relación de trabajo con el equipo de DevOps y continuar integrando la seguridad a la perfección en el SDLC. La seguridad se convierte en una ocurrencia tardía o en un proceso handbook periódico e irrepetible si no existe una relación de colaboración entre los equipos.

Esto no sucederá de la noche a la mañana, ya que requiere un cambio cultural significativo. Los desarrolladores deben aceptar la noción de que el application de calidad depende de la seguridad incorporada en cada fase del desarrollo y ver la seguridad como una necesidad. Cuando esto sucede, los CISO pueden sentirse más seguros al responder las preguntas «¿Estoy seguro?» y «¿es segura esta aplicación que llevé al mercado?» porque todos tienen los mismos objetivos, están en la misma página y pueden adaptarse rápidamente a amenazas que aún no se conocen.

John Worrall tiene más de 25 años de liderazgo, estrategia y experiencia operativa en marcas de ciberseguridad establecidas y en etapas iniciales. En su puesto real como CEO en ZeroNorth, lidera los esfuerzos de la compañía para ayudar a los clientes a reforzar la seguridad durante la vida del software program … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique