2021-10-13 - Desarrollar. Teniendo en cuenta la seguridad

Muralla Es ya un tema viejo debatir si la seguridad es cosa de desarrolladores o no. Yo tengo clarísimo que los desarrolladores deben saber de estos temas, deben tener directrices claras y resolver los problemas pensando -también- en la seguridad.

En Developers vs. Security: Who is Responsible for Application Security? nos hablaban de ello y por eso lo traemos aquí.

Lo primero, parece que la gente de seguridad desconfía de los desarrolladores y de su conocimiento sobre el tema, según un estudio de GitLab.

Results from a recent GitLab survey underscore the issue: most security professionals lack faith in developers’ ability to write secure code, while most developers feel they lack proper guidance. What’s worse, many companies surveyed aren’t being serious enough about their defense.

Puede haber aproximaciones diferentes, según la empresa y sus objetivos, nos dice Vikram Kunchala, responsable de Deloitte.

“It’s a mixed bag, and a lot of that is defined by how the company perceives security, and how important security is for their products and solutions,” he says.

La prioridad de los desarrolladores siempre es entregar código que funcione tan pronto como sea posible, sobre todo teniendo en cuenta la presión que sufren por la demanda.

With higher and higher demand for more software and apps, even more so in today’s business climate, the top priority for any developer is to get the code out quickly.

Pero claro, el código de calidad debe cumplir los requisitos de la organización y del negocio.

But to developers, and in most business entities, good quality code means that it meets organizational and business goals.

Esto no impide que los desarrolladores vean la seguridad como un freno para avanzar.

Making security the best it can be, from a developer’s perspective, is like a cop with a radar gun slowing them down when they only want to go faster.

Desde el punto de vista de los expertos en seguridad, se trataría de explorar de qué forma trabajar con los desarrolladores para generar productos más seguros.

But instead of talking about the mindset, it’s more important to explore how security experts can work with developers to achieve the collective goal of secure code.

Según nuestro experto, tres cosas ayudarían:

Primero, no tiene que ser perfecto, pero sí ir en la dirección correcta.

It doesn’t have to be perfect. […] to have a framework to say something like, “If I do these ten things, I’m on the right track.”

Segundo, la seguridad debería ser fácil de aplicar para ellos.

Security for developers should be frictionless and easy to consume.

Finalmente, cambiar la perspectiva. Esto es, prestar atención a qué tipo de desarrollo estamos haciendo y aplicar las medidas que sean adecuadas al proyecto, con ayuda de los especialistas.

For a developer looking to create a product or an app, they need to engage with application security teams to answer several questions that drive various risk elements

Idealmente, que sea fácil de verificar que todo está como se debe en las fases de integración y desarrollo continuo.

Those teams must provide an easy way to consume these controls as part of the development process and CICD (continuous integration/continuous delivery) pipeline.

Y los expertos deben ayudar a que la parte defensiva sea más sencilla.

Now, security experts need to make defense easier to do.

Teniendo en cuenta que cuanto más se retrase la solución de los problemas, más complicao será resolverlos.

Perhaps the most critical advice you should impart to the development team is that the longer it takes to fix the issue, the more expensive it gets.

Parece que poco a poco va calando la cultura de que las aplicaciones deben ser seguras y proteger los datos, así que eso debería ayuda.

… 78% of U.S. respondents believe it is extremely important for a company to keep their data private, building security into your product or service is putting your customer first.

En definitiva, la seguridad debería ser una fase más del diseño/desarrollo, y nho algo que se añade después.

“With any process, security should be built in, not bolted on,” Kunchala says. “Anything that organizations can do to consider shifting left and start engaging security at the conception phase is going to be beneficial.”

Supongo que no es muy nuevo para nadie que venga por aquí de vez en cuando, pero está bien tener estos recordatorios.

Escrito el 2021-10-13
Categorías: seguridad
Tags: seguridad desarrollo desarrolladores empresas