¿Es posible la seguridad de aplicaciones sin fricciones?

Por Yen Hoe Lee, director de asesoría de KPMG

Existe un viejo chiste entre los desarrolladores de software de que si lo escribe correctamente la primera vez, nunca tendrá que perder el tiempo depurando o probando su código. Cualquiera que esté remotamente familiarizado con el desarrollo de software puede ver lo absurdo de la perfección que hace que esto sea una broma. Hoy en día, incluso la aplicación más simple es una máquina de complejidad casi inimaginable en la que un solo carácter fuera de lugar o una línea de código aparentemente inocua puede crear una falla o vulnerabilidad grave.

Cuando se trata de seguridad de aplicaciones (AppSec), puede parecer que algunas organizaciones se han tomado esta broma en serio. En lugar de realizar pruebas de AppSec en cada lanzamiento de cada aplicación en sus carteras para detectar y remediar vulnerabilidades críticas, están probando solo de forma esporádica o selectiva, quizás probando solo las tres o cuatro aplicaciones más “riesgosas” en cada lanzamiento. Por supuesto, nadie cree realmente que lo haya escrito correctamente, por lo que no es necesario realizar pruebas. La desafortunada verdad es que muchos no están probando todos los lanzamientos porque simplemente no tienen los recursos o el tiempo para hacerlo.

No hay tiempo para probar

Impulsada por nuevas técnicas y metodologías como Agile, DevOps y CI / CD, la presión sobre los desarrolladores para que entreguen más rápido nunca ha sido mayor. Según se informa, muchas de las plataformas de Internet conocidas envían actualizaciones cada pocos horas – no semanas, no días. Entonces, ¿qué hace cuando su equipo de AppSec con poco personal le dice que necesita dos o tres días para evaluar adecuadamente una versión (sin contar el tiempo para la corrección) cuando está tratando de mantener un ritmo como ese en no solo uno sino quizás incluso docenas de aplicaciones?

Para algunos, a pesar del deseo genuino de hacer lo correcto, la respuesta es el equivalente a cerrar los ojos, taparse los oídos y repetir “la-la-la” porque si no conoce las vulnerabilidades, ellos no pueden lastimarte, verdad?

El secreto no tan secreto es que muchas organizaciones tienen tales brechas de visibilidad en la seguridad de sus aplicaciones. Muchos ven AppSec como una fuente importante de fricción en el proceso de desarrollo, por lo que es natural y tentador querer reducir o eliminar esa fricción, o al menos intentar arrojar tecnología al problema para compensar la falta de tiempo y recursos. La tecnología puede ayudar, de hecho, es indispensable, pero no es una panacea.

La automatización es una herramienta, no una solución

Si bien hay una docena de paquetes de software muy respetados diseñados para automatizar las pruebas de AppSec, ninguno puede evaluar realmente las vulnerabilidades en el contexto de su negocio o su industria. No pueden priorizar los problemas más críticos específicos para usted, su organización y sus clientes y, a menudo, simplemente escupen una lista de problemas que es tan larga que bien podría ser infinita. Y no pueden ver su organización como un todo para ver si ha fomentado una cultura de seguridad, si está optimizada para mantener la seguridad de las aplicaciones de la manera más eficiente o si sus prácticas de seguridad están alineadas con los objetivos comerciales generales.

Como ocurre con la mayoría de las herramientas, la calidad del resultado es tan buena como la habilidad de la persona que la usa. Muchas organizaciones luchan por encontrar analistas de datos de AppSec capacitados y experimentados que puedan interpretar el resultado y hacer recomendaciones informadas en términos de riesgo comercial.

Tampoco es infrecuente que las grandes organizaciones tengan diferentes equipos que utilicen diferentes herramientas de AppSec, o que subcontraten proyectos de desarrollo a varios equipos que tengan sus propias herramientas, lo que también dificulta obtener una visión única y completa de la seguridad de las aplicaciones, y lo potencialmente catastrófico. riesgos comerciales a los que puede estar expuesto.

Sin esa visibilidad, es casi imposible determinar dónde concentrar los recursos para maximizar la eficiencia y la eficacia, o para administrar el riesgo de manera adecuada. Es el software equivalente a conducir un automóvil sin poder ver completamente por el parabrisas, sin saber cuándo pisar los frenos o cuándo se puede acelerar. Como dicen, los buenos frenos no están diseñados para hacer que los autos vayan más lento, están diseñados para permitirles ir más rápido.

Lo mismo ocurre con AppSec. Si se hace correctamente, AppSec no solo puede ser una parte fluida del proceso de desarrollo, sino que también puede ayudarlo acelerar eso.

Soluciones NextGen AppSec

En los últimos años, ha evolucionado una nueva generación de soluciones AppSec bajo demanda para abordar exactamente ese objetivo, incluidas las soluciones bajo demanda de KPMG. Estas soluciones NextGen están diseñadas para escalar para satisfacer las necesidades de organizaciones con grandes carteras de aplicaciones, múltiples equipos de desarrollo y programas de desarrollo agresivos. También están diseñados para eliminar las brechas en la visibilidad de AppSec mediante la agregación de datos en equipos y herramientas dispares, sin tener que normalizar primero los datos.

Hay muchas eficiencias potenciales que pueden explotarse con una mejor visibilidad. Por ejemplo, puede ver que los problemas de inyección de SQL son comunes en varios proyectos de desarrollo. En lugar de abordar cada uno de manera discreta y repetida, puede agregar más capacitación sobre la inyección de SQL o crear una biblioteca de código central y común que haya sido diseñada para abordar el problema.

La visibilidad mejorada también se aplica a lo que sucede fuera de su organización. Puede ser de gran ayuda comparar su desempeño con las normas de la industria para comprender dónde se debe prestar más atención y dónde ya lo está haciendo bien.

Otro aspecto clave de una solución bajo demanda es que está diseñada para considerar todo el proceso, no solo las aplicaciones en sí. AppSec no existe en el vacío o en silos de aplicaciones discretas. La optimización de su organización para una mayor eficiencia y velocidad de desarrollo puede involucrar disciplinas como la gestión de riesgos, la transformación digital, la gestión de cambios organizativos, el cumplimiento normativo y más, cosas que ninguna solución de solo software puede ofrecer.

Puede obtener más información sobre cómo KPMG está ayudando a las organizaciones a lograr una entrega moderna de TI. aquí o envíeme un correo electrónico para hablar más sobre sus requisitos de AppSec.

Este artículo representa únicamente las opiniones del autor, y la información aquí contenida es de carácter general y no pretende abordar las circunstancias de ninguna persona o entidad en particular. Nadie debe actuar sobre esa información sin el asesoramiento profesional adecuado después de un examen exhaustivo de la situación particular.

Es posible que algunos o todos los servicios descritos en este documento no estén permitidos para los clientes de auditoría de KPMG y sus afiliados o entidades relacionadas.

Copyright © 2020 IDG Communications, Inc.

Recent Articles

Prueba de concepto para un nuevo audífono de muy bajo costo para la pérdida auditiva relacionada con la edad – ScienceDaily

Un nuevo audífono ultra asequible y accesible fabricado con dispositivos electrónicos de código abierto pronto podría estar disponible en todo el mundo, según un...

T-Mobile responde a AT&T y Verizon luego de acusaciones de acaparamiento de espectro

Agrandar / El CEO de T-Mobile, Mike Sievert, habla durante un discurso de apertura en CES...

Realmente aprecia las llamadas más que los intercambios de mensajes de texto

Los investigadores predijeron que las personas subestimarían constantemente cuánto podrían beneficiarse de hablar por teléfono.Fotografía de Stokkete / ShutterstockyoSoy uno de los afortunados. El...

Cómo la misión lunar Artemisa podría ayudarnos a llegar a Marte

“El mayor problema que tenemos en este momento es que no sabemos cómo vivir y trabajar productivamente fuera del planeta Tierra”, dice Clive Neal,...

Parece que el iPhone 12 podría anunciarse el 13 de octubre

Se rumorea que Apple anunciará su gama de iPhone 12 el martes 13 de octubre, según varios informes. Leaker Jon Prosser reiteró su afirmación anterior...

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí