Las aplicaciones y la tecnología ya impulsan el crecimiento del negocio y continuarán
desempeñando un papel cada vez más importante para diferenciar a las empresas de su competencia e impactar en el resultado final. Las empresas con programas de seguridad de aplicaciones (AppSec) exitosos tienen una ventaja tremenda, ya que pueden hacer que las nuevas aplicaciones se pongan en producción de manera más rápida y económica que aquellos competidores que consideran a AppSec como mal necesario dentro del ciclo de desarrollo de software. Además, se benefician de menores costos operativos, menos fallas de seguridad y un riesgo muy reducido de brechas de seguridad que pueden costar millones en valor de marca y daños a la reputación.
Si bien las empresas en Chile se están moviendo rápidamente hacia metodologías ágiles de DevOps y herramientas automatizadas de ciclo de desarrollo de software para reducir el tiempo de comercialización, para muchos, AppSec todavía parece ser una idea de último momento. Esto es consistente con las actitudes históricas hacia la ciberseguridad en general, vista más como una póliza de seguro que como un motor de negocio. Pero incluso el humilde software antivirus permite a las empresas ser más productivas: cualquier administrador de TI puede confirmar que una plataforma de AV mal administrada generará incidentes que harán que los usuarios no puedan hacer su trabajo mientras los equipos de TI gastan tiempo limpiando y formateando las PC. Una plataforma AV bien administrada, por otro lado, impulsa la productividad de los usuarios y permite a los equipos de TI concentrarse en el desarrollo de nuevas tecnologías. AppSec es lo mismo, un programa bien administrado genera valor en toda la organización y el deployment de nuevas aplicaciones se convierte en una bola de nieve a medida que la seguridad se convierte en un factor integral y habilitante en el ciclo de desarrollo.
Entonces, ¿cuáles son algunas de las cosas clave en que pensar cuando se desarrolla un programa AppSec?
¿De quién es la iniciativa?
Es esencial que todos los participantes se involucren para desarrollar un programa exitoso que realmente pueda impulsar el crecimiento del negocio. Si bien generalmente es el CISO quien debe implementar AppSec para cumplir con los requisitos regulatorios y de cumplimiento, el éxito depende de lograr comprometer los equipos de desarrollo. Es importante que los equipos de seguridad trabajen en estrecha colaboración con los equipos de desarrollo para comprender su metodología y prácticas de trabajo antes de implementar cualquier nueva tecnología de seguridad.
Integrar completamente
La mayoría de los desarrolladores de software no son expertos en seguridad y todos trabajan con plazos ajustados. La simple implementación de herramientas de escaneo de código estático antes de la puesta en escena y el despliegue de nuevas aplicaciones solo demorará los tiempos de implementación y frustrará a los desarrolladores. Es mucho más difícil corregir el código en una aplicación terminada que corregirlo en una etapa temprana del proceso de desarrollo. Cuantas más oportunidades tengan los desarrolladores para verificar su código, más probable será que solucionen fallas antes. Por lo tanto, los programas AppSec exitosos requieren que se considere la seguridad desde la etapa de concepto y que proporcionen herramientas para que los desarrolladores verifiquen y corrijan su código durante cada sprint.
Valor en la educación
A medida que AppSec se convierte en una parte integral del ciclo del desarrollo del software, los desarrolladores aprenden a escribir código más seguro. La introducción de programas de aprendizaje electrónico en torno a la codificación segura y el acceso de los desarrolladores al entrenamiento de remediación amplificará el valor del programa AppSec, reduciendo los errores de codificación y aumentando la capacidad de los equipos para corregir fallas. La empresa se beneficia de ciclos de desarrollo más rápidos, mientras que los desarrolladores adquieren valioso conocimiento y experiencia.
La tecnologia correcta
Elegir la tecnología adecuada también es una decisión crítica para garantizar el éxito de los programas AppSec. Igual que la mayoría de las cosas en la vida, lo más barato no siempre es lo mejor y generalmente conlleva una serie de costos ocultos. Los mayores costos en el desarrollo de software son los recursos humanos. La tecnología correcta automatizará tanto como sea posible y reducirá la carga de trabajo para los desarrolladores. La tecnología que requiere procesos manuales ralentizará los equipos de desarrollo y, en última instancia, afectará el tiempo de comercialización y rentabilidad.
En una nota final, AppSec no finaliza cuando las nuevas aplicaciones se mueven a producción. Las empresas deben continuar buscando nuevas vulnerabilidades en su propio código, así como cualquier componente de código abierto que estén utilizando. La mitigación y la remediación son clave para garantizar el retorno de la inversión en AppSec, ya que los equipos pueden remediar fallas con mayor rapidez, y más rápido pueden regresar a los nuevos desarrollos planificados. Y las nuevas aplicaciones generan nuevos ingresos, generando nuevo crecimiento para el negocio.
Comments