La desconexión de Dev-Sec socava los esfuerzos de codificación segura



En lugar de seguir quejándose unos de otros, los desarrolladores y los profesionales de la seguridad deben trabajar juntos y celebrar sus éxitos.

CONFERENCIA RSA 2021 – La desconexión entre los equipos de seguridad y los equipos de desarrollo continúa causando problemas a los esfuerzos de las empresas para proteger el software program y su infraestructura, dijo un consultor de seguridad a los asistentes durante una sesión virtual en la Conferencia RSA.

Chris Romeo, director ejecutivo del proveedor de formación Protection Journey, argumentó que las empresas están socavando sus iniciativas de seguridad de aplicaciones al no hacer más esfuerzos para derribar las barreras entre los desarrolladores, la seguridad y las operaciones. Un problema central es que muchos profesionales de la seguridad no son programadores y no comprenden sus incentivos y motivaciones. Mientras tanto, los desarrolladores ven la seguridad como un trabajo intenso y dicen que las herramientas de seguridad de las aplicaciones producen una gran cantidad de falsos positivos.

Romeo llamó a esta tensión entre los desarrolladores y la seguridad «la desconexión dev-sec», y es cuando los desarrolladores y los profesionales de la seguridad ven al otro como el enemigo, no como un socio.

«Como desarrollador, estoy sentado aquí pensando: &#39Estas personas de seguridad siempre están en el camino, siempre me están frenando, tienen requisitos arbitrarios y no pueden decidir (cuándo) necesitamos impulsar estas nuevas funciones en producción &#39», dijo. «En el otro lado de la moneda, la seguridad dice: &#39Estos desarrolladores son vagos, no están aplicando la guía que les brindamos … (y) su código es inseguro».

DevOps y la programación ágil se han convertido en el enfoque de la mayoría de las empresas para el desarrollo de aplicaciones, según el 68% de las empresas en una encuesta reciente realizada por GitLab, un proveedor de servicios DevOps. La encuesta encontró que la mayoría de los desarrolladores, el 71%, considera que la seguridad es su responsabilidad o una responsabilidad compartida con otro grupo.

Sin embargo, los desarrolladores y los equipos de seguridad aún necesitan mejorar la forma en que trabajan juntos, dijo Romeo de Protection Journey. Los equipos de seguridad con frecuencia exigen más que asesorar, y la falta de un proceso de seguridad detallado tiende a convencer a muchos desarrolladores de que las decisiones de seguridad son arbitrarias y siempre obstaculizan su trabajo, dijo a los asistentes.

En cambio, las empresas deben celebrar los éxitos tanto como destacar los problemas de seguridad, dijo.

«Al celebrar las victorias en seguridad, podemos hacer que la seguridad sea buena para nuestros desarrolladores y no negativa de manera constante», dijo. «No es algo tan difícil de hacer, pero a menudo los desarrolladores solo escuchan que el cielo siempre está cayendo».

Entre los consejos que Romeo tiene para los equipos de seguridad y las empresas que intentan mejorar sus programas de seguridad de aplicaciones: Ajustar las herramientas para reducir los falsos positivos, trabajar juntos para determinar la cantidad correcta de recursos para dedicar a las necesidades de seguridad, educar a los desarrolladores sobre seguridad y también educar profesionales de la seguridad sobre el desarrollo.

«Siempre comenzamos con el qué o el cómo … no damos un paso atrás y decimos: &#39He aquí por qué necesitas hacer eso&#39», dijo. «Ayude a las personas adyacentes al proyecto a comprender por qué la seguridad es importante para sus clientes. No usted como equipo de seguridad, ni para sus ejecutivos, ni para ningún otro grupo dentro de sus empresas, sino para sus clientes».

Parte de eso es crear métricas para el retorno de la inversión en seguridad. Una métrica importante, por ejemplo, es realizar un seguimiento de la reelaboración necesaria para corregir errores que tienen un componente de seguridad, dice Romeo.

Otra recomendación importante: asegúrese de que tanto los profesionales de la seguridad como los desarrolladores sepan que necesitan asociarse para que la empresa tenga éxito, no declarar a uno como el guardián. Las barandillas están bien, pero los desarrolladores necesitan espacio para maniobrar, dijo.

«Tenemos barandillas para protegernos de salirnos de la ladera de la montaña», dijo Romeo. «No funcionan si están a solo dos pulgadas de su automóvil y no le dan espacio para maniobrar. Las barandillas de seguridad deben brindarle algo de libertad durante el proceso de desarrollo».

Si bien Romeo ve la desconexión entre los trabajadores de seguridad y los desarrolladores como un problema continuo, la encuesta de GitLab publicada a principios de este mes destacó algunas tendencias esperanzadoras. Si bien las pruebas de seguridad y aplicaciones continúan siendo un dolor de cabeza para los desarrolladores, ya que al 40% de los desarrolladores les preocupa que se lleve a cabo demasiado tarde en el proceso de desarrollo, el 72% de los desarrolladores considera que la seguridad de sus organizaciones es buena o sólida, 13 puntos más que el año previo.

Aproximadamente el 43% de los encuestados implementan software al menos una vez a la semana, según la encuesta.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Looking at, MIT&#39s Technologies Critique, Well-liked Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original