La seguridad del cambio a la izquierda es útil, pero un experto dice que no es suficiente


Es essential tapar las vulnerabilidades de ciberseguridad antes de que los malos se enteren. Para que eso suceda, las empresas deben alentar a los equipos de seguridad y desarrolladores a colaborar, dice un experto.

seguridad

Imagen: iStockphoto / maxkabakov

La ciberseguridad posterior a los hechos es algo que los ciberdelincuentes aprecian. «Dado que los atacantes continúan innovando formas en que pueden comprometer los activos de sus víctimas, es cada vez más crítico para las organizaciones reducir sus superficies de ataque», dijo Rickard Carlsson, cofundador y director ejecutivo de Detectify, una empresa de ciberseguridad que utiliza piratas informáticos éticos. «Para combatir a los ciberdelincuentes, es necesaria la colaboración y la propiedad compartida de la ciberseguridad entre los equipos de seguridad y de ingeniería».

Además de los ciberdelincuentes, existen preocupaciones internas

Además de tratar de mantener secretos a los malos digitales, Carlsson sugirió que los departamentos, en unique los que se ocupan de la ciberseguridad, dentro de una empresa tienden a guardar secretos de otros departamentos. «Muchos equipos permanecen aislados para mantener protegida la información de seguridad, por temor a la explotación», dijo Carlsson. «Con este enfoque cauteloso, las organizaciones están asumiendo que esta información solo es conocida por un grupo selecto de personas internamente, sin considerar que podría haber otras personas fuera de la organización con la misma información y tienen la intención de usarla maliciosamente».

En pocas palabras (y para el mejoramiento de todas las partes), se debe fomentar el intercambio de conocimientos dentro de una organización, especialmente entre los equipos de seguridad y desarrolladores.

Carlsson expresó otra preocupación: «Un obstáculo común para las organizaciones es que permiten que sus protecciones de seguridad obstaculicen su innovación y su capacidad de escalar».

VER: Política de TI en la sombra (TechRepublic Top quality)

¿Qué es la seguridad de cambio a la izquierda?

Sobre el papel, el proceso llamado «cambio de seguridad a la izquierda» es una forma de reducir las superficies de ataque. «Desplazar a la izquierda se refiere a mover la seguridad antes en el proceso de desarrollo», mencionó. este sitio world-wide-web de CheckPoint. «Además, una integración más estrecha de la seguridad a lo largo del proceso conduce a mejores resultados de seguridad, en lugar de agregarla al ultimate».

Carlsson se inclina a estar de acuerdo y agrega: «Con el desplazamiento a la izquierda, las pruebas se realizan más temprano en el ciclo de desarrollo del producto para garantizar que las fallas de seguridad se encuentren temprano, con tiempo suficiente para corregirlas».

¿Qué es la propiedad colaborativa de la ciberseguridad?

Carlsson cree que todavía hay una forma mejor. «Aunque el enfoque en &#39cambiar a la izquierda&#39 dentro de la seguridad de las aplicaciones está aumentando, todavía hay oportunidades descubiertas para una forma más rápida y eficiente de aplicar la ciberseguridad», dijo Carlsson. «Además, el cambio a la izquierda ve la seguridad como una organización controladora en lugar de un facilitador».

Carlsson cree que la propiedad colaborativa de la ciberseguridad es una mejor forma de protección. En cuanto a lo que él considera propiedad colaborativa, agregó: «A través de una mayor propiedad del monitoreo y las pruebas continuas, los profesionales de la ciberseguridad pueden permitir a los desarrolladores adoptar un enfoque más proactivo de protección mientras construyen la aplicación».

Los siguientes son detalles de lo que Carlsson considera propiedad colaborativa:

  • Los ciclos de desarrollo están sucediendo tan rápidamente en el panorama genuine, que la atención debería centrarse menos en las pruebas tempranas y más en las pruebas continuas. Además, es importante asegurarse de que la información sobre vulnerabilidades llegue a los desarrolladores para que puedan actuar y hacer ajustes.
  • Los equipos de seguridad dentro de una organización deben preguntarse cómo están promoviendo la propiedad de la seguridad. En lugar de monitorear las fallas de seguridad y adoptar un enfoque reactivo, estos equipos deberían guiar a los ingenieros para que tomen decisiones informadas.
  • Las pruebas de vulnerabilidad intencionales son imperativas para garantizar que las protecciones cumplan con la marca. Específicamente, las pruebas de seguridad de aplicaciones dinámicas o las pruebas de caja negra regularmente pueden generar más confianza en los productos del mercado. Este enfoque proactivo brinda la tranquilidad de saber que la detección está en su lugar para detener los ataques de la vida genuine y encontrar vulnerabilidades explotadas activamente a tiempo.
  • La identificación de vulnerabilidades y la comunicación con el equipo apropiado deben acelerarse para garantizar que se pueda llevar a cabo una innovación segura.
  • Todas las facetas de la organización deben comprender la importancia de este ciclo de prueba / corrección dentro del ciclo de vida del desarrollo. Los equipos de seguridad necesitan esta aceptación de arriba hacia abajo para que todos los grupos reconozcan el valor.
  • Las organizaciones innovadoras deben confiar en una combinación de automatización, investigación, piratería ética y conciencia continua para protegerse.
  • La seguridad ya no estará aislada. Debe tenerse en cuenta en todas las decisiones estratégicas, y las personas deben sentirse empoderadas para poseer la seguridad cibernética en sus diversos roles y tareas.
  • Los CISO y los propietarios de aplicaciones deben esperar que sus proveedores de seguridad comuniquen información sobre las vulnerabilidades en cuestión de minutos después de que hayan sido detectadas.

Pensamiento last

Cambiar la seguridad a la izquierda es solo un comienzo, según Carlsson, y hace varios buenos puntos sobre el por qué. Afortunadamente, no parece un gran salto pasar de cambiar la seguridad izquierda a la propiedad colaborativa de la ciberseguridad.

Ver también



Enlace a la noticia authentic