Existe un gran número de equipos de desarrollo de software, ejecutivos y usuarios que piensan que la seguridad es sólo herramientas, criptografía, codificación, aplicaciones y diversos dispositivos de hardware. Pero, en realidad es un estado de ánimo (si lo vemos desde otro punto de la hoja). En resumen, los equipos tienen que pensar seriamente en la cultura de la seguridad para construir un software realmente seguro.
A continuación, pasaremos los 5 pasos estratégicos para crear una buena cultura sobre el desarrollo de software seguro.
La seguridad debe ser responsabilidad de todos
Los desarrolladores son tal vez los actores más críticos para mantener la seguridad, simplemente por el daño generalizado que puede desencadenar una brecha de seguridad dentro de una aplicación ampliamente utilizada. Sin embargo, la seguridad debe incorporarse en todas las etapas del ciclo de vida del desarrollo de software, y por parte de todos los que participan en él.
Las organizaciones tienen que romper los lugares entre el desarrollo y las operaciones de seguridad. En resumen, conseguir que todo el mundo entienda que todos los actores implicados están tratando de ayudar a la empresa a prosperar, cada uno a su manera. Esto diluirá la percepción de la seguridad como «El departamento que dice NO».
Escuchar a las personas implicadas en el SDLC para eliminar las fricciones
Al mismo tiempo que la organización exige que todo el mundo participe en la seguridad del software, debe ser receptiva a las aportaciones que este amplio y diverso grupo tiene que proporcionar sobre el proceso de seguridad del SDLC. En concreto, si estas aportaciones suponen una oportunidad de mejora.
El objetivo es ayudarles a ser más seguros con el menor esfuerzo posible. Cuando sea práctico, aproveche la automatización para encontrar y anular los problemas antes de que socaven los objetivos de los usuarios. Hágalo de manera que minimice tanto los falsos positivos como los falsos negativos, ya que ambos socavan la confianza en las herramientas y en el valor de la seguridad. Favorece las herramientas que informan de los resultados en tiempo real, de forma interactiva, frente a los largos tiempos de escaneo. Los usuarios y los ejecutivos no son conocidos por su paciencia ilimitada. Los largos tiempos de escaneo son para muchos un asesino de la productividad. Además, hay que asegurarse de que los sistemas no ofrezcan información estática que quede rápidamente obsoleta. Eso también socava la credibilidad y la autoridad de la seguridad.
Incorpore aspectos de formación en sus herramientas
En primer lugar, las herramientas de seguridad deben ofrecer consejos de reparación con la mayor frecuencia y especificidad posibles. Cuando sea viable, los sistemas deben ofrecer una visibilidad total, no sólo de los problemas reales sino de los potenciales.
Y, en segundo lugar, invierta en una formación de calidad para los desarrolladores centrada en los aspectos prácticos de la creación de software seguro. Esto no tiene por qué ser caro ni requerir demasiado tiempo, ya que hay muchos recursos disponibles de forma gratuita. Nos gustan mucho los materiales que publica regularmente OWASP, la principal organización sin ánimo de lucro que impulsa el ámbito de la seguridad de las aplicaciones.
Hay que comunicar que “no hay calidad sin seguridad”
¿Cómo se puede considerar que un software es de alta calidad si permite el acceso no autorizado, filtra datos sensibles o entra en conflicto con otras aplicaciones de la empresa? Alta calidad equivale a alta seguridad.
Es fundamental no confundir una gran funcionalidad con un gran software. Un gran software casi siempre ofrecerá una gran funcionalidad y facilidad de uso, pero si trae consigo brechas de seguridad, tiempo de inactividad, demandas e investigaciones forenses, ¿qué tan grande es en realidad?
Conseguir el apoyo y la participación de los altos cargos
Los ejecutivos de todos los niveles deben comprender los objetivos de seguridad de la organización y estar familiarizados con el retorno de la inversión del proceso de software seguro. Son conceptos con los que se sienten cómodos los directores financieros y los directores generales, así como los miembros del consejo de administración. Hablar su idioma es siempre la mejor manera de comunicarse, independientemente de si el software es para uso interno y de los socios o si el producto final se va a vender externamente.
Un código seguro significa un tiempo de comercialización más rápido, ejecutivos de ventas más contentos, clientes de usuarios finales más contentos y mucho más. ¿Y qué hay de una mejor contratación y una mayor retención? Una cultura de seguridad sólida suele ofrecer ambas cosas, ya que tanto la seguridad como los desarrolladores experimentan menos fricciones.
La automatización de la seguridad permite a los desarrolladores y a los equipos de operaciones dedicar un mayor porcentaje de su tiempo a construir las partes más interesantes de la aplicación. Esto equivale a una mayor moral, lo que aumenta la retención.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
