Las 10 acciones defensivas más comunes



Más de las tres cuartas partes de las empresas toman regularmente 10 pasos de seguridad comunes para mejorar su postura defensiva common, incluida la instrumentación de su ciclo de vida de desarrollo seguro (SDLC) y el uso de herramientas automatizadas, según el informe anual Developing Protection in Maturity Model (BSIMM).

El informe se basa en la duodécima evaluación BSIMM de empresas, que pregunta si han realizado alguna de las 122 actividades de seguridad diferentes. De las 128 empresas incluidas en la encuesta, el 92% recopiló datos de su ciclo de vida de desarrollo de software para mejorar la seguridad, mientras que el 91% confirmó regularmente el estado de sus medidas básicas de seguridad de red y host, las dos iniciativas de seguridad más comunes entre las empresas encuestadas. , de acuerdo con una lista clasificada generada a partir de la encuesta BSIMM.

Los datos muestran que las empresas están progresando en la maduración de sus procesos de seguridad de application, dice Eli Erlikhman, director gerente de Synopsys y uno de los autores del informe BSIMM.

«Continuamos viendo mejoras en las iniciativas de seguridad de software, donde las organizaciones están mejorando en ciertas áreas, como el regulate del riesgo de código abierto, la seguridad de los proveedores y el descubrimiento de defectos», dice. «Al mismo tiempo, vemos que hay margen de mejora en la industria, donde las organizaciones deben continuar desarrollando sus capacidades».

El anual Informe BSIMM ofrece a las empresas una instantánea de los esfuerzos actuales para proteger las aplicaciones y el software program en diferentes industrias. El marco es una forma en que las empresas pueden recopilar métricas sobre el desarrollo de su program con miras a mejorar sus procesos. Otros modelos, como el Modelo maduro de capacidad (CMM) y Modelo de madurez de garantía de program de OWASP (OSAMM), son alternativas que se enfocan en otros aspectos del desarrollo de computer software.

Las evaluaciones actuales encontraron que el creciente número de incidentes públicos de ataques de ransomware y ataques en la cadena de suministro de application, como el compromiso del fabricante de software program de administración remota Kaseya, tiene empresas más enfocadas en actividades diseñadas para prevenir o mitigar incidentes. En los últimos dos años, un 61% más de empresas han buscado activamente identificar el código abierto (74 este año frente a 46 hace dos años), mientras que 55 empresas han comenzado a exigir acuerdos de licencia de application estándar, un aumento del 57% en comparación con hace dos años.

«Durante los últimos 18 meses, las organizaciones experimentaron una aceleración masiva de las iniciativas de transformación electronic», dijo Mike Ware, director de seguridad de la información de Navy Federal Credit history Union, una organización miembro de la comunidad BSIMM, en un comunicado. «Dada la complejidad y el ritmo de estos cambios, nunca ha sido más importante para los equipos de seguridad tener las herramientas que les permitan comprender dónde se encuentran y tener una referencia sobre dónde deberían girar a continuación».

El informe BSIMM tiene como objetivo permitir que las empresas tomen decisiones basadas en datos sobre cómo mejorar sus esfuerzos de seguridad de software a lo largo del tiempo. Las 10 actividades más comunes, y la proporción de organizaciones que participan en esas actividades, son:

  1. Implementar la instrumentación del ciclo de vida y utilizarla para definir la gobernanza (92%)
  2. Asegúrese de que los conceptos básicos de seguridad del host y la pink estén en su lugar (91%)
  3. Identificar obligaciones de PII (89%)
  4. Realizar revisión de funciones de seguridad (88%)
  5. Utilice probadores de penetración externos para encontrar problemas (87%)
  6. Crear o interactuar con la respuesta a incidentes (84%)
  7. Integrar y ofrecer funciones de seguridad (80%)
  8. Utilizar herramientas automatizadas (80%)
  9. Asegúrese de que QA realice pruebas de condición de valor de borde / límite (78%)
  10. Traducir las restricciones de cumplimiento a requisitos (77%)

Los datos sugieren que, en su conjunto, las empresas se están volviendo más maduras en lo que respecta a la seguridad del software package. Hace dos años, el informe BSIMM 10 encontró que solo el 70% de las empresas evaluadas realizaban la menos común de las 10 actividades principales, en comparación con el 77% de este año.

Organizaciones enfocadas en el suministro de program, cambiando a todas partes
La encuesta BSIMM 12 también muestra que más empresas se centran en proteger sus cadenas de suministro de software program y mantener segura su infraestructura. Las dos actividades de más rápido crecimiento son el uso de la orquestación para contenedores y entornos virtualizados, que crecieron a 33 empresas participantes de cinco empresas hace dos años, y garantizan los conceptos básicos de seguridad en la nube, ahora 59 empresas en comparación con nueve hace dos años.

La verificación de la lista de materiales de software (SBOM) es otra área de seguridad de software de rápido crecimiento, con 14 empresas adoptando la actividad, en comparación con sólo tres empresas hace dos años.

Muchas de estas actividades son ejemplos de cómo pasar de un enfoque en el cambio de la seguridad hacia el desarrollo, el llamado «cambio a la izquierda», a un enfoque en agregar actividades de seguridad donde sea que se necesiten, lo que Erlikhman de Synopsys llama «cambiar a todas partes». La verificación de seguridad automatizada de la infraestructura operativa es un ejemplo en el que la seguridad se está moviendo hacia el desarrollo, hacia las operaciones y, de manera más integral, hacia la ingeniería.

«Vemos nuevas iniciativas de seguridad de software program (SSI) que comienzan a implementar estas actividades que cambian [security] tanto a la derecha como a la izquierda, dice. «Sería útil para todas las organizaciones evaluar estos enfoques para ver si tienen sentido para su negocio».



Enlace a la noticia original