A pesar de la convicción generalizada de que los equipos de las áreas de Seguridad TI y de Desarrollo en las organizaciones tienen prioridades diferentes, iniciativas como la creación de ambientes DevOps y el foco en la innovación de productos mantienen a esos dos equipos alineados.
Así lo señala un estudio realizado por la consultora Enterprise Strategy Group (ESG) y presentado por Veracode –la empresa de seguridad de software recién adquirida por CA Technologies–, en el cual se analizan las relaciones entre los equipos de seguridad y el desarrollo de aplicaciones.
Un 58% de los entrevistados para este estudio informaron que su organización está asumiendo un abordaje colaborativo para proteger sus aplicaciones.
Y entre quienes afirmaron que utilizan soluciones de seguridad para las aplicaciones –como pruebas estáticas de seguridad– un 43% mencionó que toman esa medida porque incluir esto en el proceso de desarrollo resulta más eficiente que corregir los sistemas de producción de manera reactiva.
Un hecho curioso es que el 45% de los entrevistados que forman parte de alguna organización que adoptó los principios y las buenas prácticas de DevOps señalan que estos procesos facilitan el trabajo del equipo de Desarrollo de Software y sólo un 8% dijo que la inclusión de la seguridad de aplicaciones en el proceso de desarrollo desacelera el ambiente DevOps. Estos resultados no están alineados a la percepción común de que el foco en la seguridad desacelera el desarrollo de software.
WannaCry, un ejemplo
Estas conclusiones no podrían llegar en mejor momento para las empresas, pues los ataques que se aprovechan de vulnerabilidades de software son cada vez más comunes y perjudiciales. El ataque del virus WannaCry es el ejemplo más reciente, ya que explota una vulnerabilidad de versiones más antiguas del sistema operativo Microsoft Windows. Aunque Microsoft haya lanzado una corrección para dicha vulnerabilidad, miles de organizaciones no la han instalado aún y fueron infectadas por el WannaCry.
El estudio también muestra que casi un 70% de los entrevistados planean aumentar las inversiones en la seguridad de aplicaciones en los próximos 12 a 24 meses. Este aumento de inversiones también valida la importancia creciente de la seguridad de aplicaciones en el proceso de desarrollo.
Obstáculos para lograr la DevSecOps
El estudio señala la necesidad de colocar la seguridad de aplicaciones como parte integrante del proceso de DevOps –una combinación conocida como DevSecOps– y que esta necesidad se reconozca y se acepte.
Los resultados también destacan los requisitos tecnológicos necesarios para hacer del DevSecOps una realidad.
La complejidad e incapacidad de integrar la seguridad de aplicaciones al flujo de trabajo del DevOps son los mayores obstáculos señalados para la implementación eficaz de este modelo. En realidad, la capacidad de integrar herramientas de prueba estática de software y de ciclo de vida del software (42%), además de la capacidad de integrar herramientas de prueba dinámica de software y de ciclo de vida del software (34%) a los procesos de desarrollo de aplicaciones y DevOps, fueron las consideraciones que más se repitieron al evaluar productos y servicios de prueba estática y dinámica de seguridad de aplicaciones, respectivamente.
“Las metodologías contemporáneas de desarrollo de aplicaciones promueven la comunicación y la colaboración entre los equipos de Desarrollo de Aplicaciones, Operaciones y Seguridad, con el objetivo de identificar y corregir vulnerabilidades lo más rápido posible para aumentar la eficiencia e intensificar la seguridad”, señaló Doug Cahill, Analista Senior de ESG.
Dijo que la adopción cada vez mayor de procesos de DevOps, combinada a la voluntad de integrar y automatizar las pruebas de seguridad durante todo el ciclo de vida del software, indica un cambio para el DevSecOps. “Esto significa considerar el código seguro como un elemento de creación de aplicaciones de calidad”, agregó Cahill.
La seguridad como parte del proceso integral
De acuerdo con los resultados obtenidos en el estudio, es evidente que el software continúa siendo el principal impulsor de la innovación y el crecimiento económico. Por ello, “eliminar la percepción que existe una fricción entre los equipos de Seguridad y de Desarrollo es una prioridad para los profesionales de TI”, aseveró Pete Chestna, director de alistamiento de desarrolladores de Veracode.
“La percepción positiva de que se pueden alinear a los equipos de Seguridad y DevOps, como lo indica este estudio, muestra que los equipos de Desarrollo pueden y deben considerar la seguridad como parte del proceso integral”, concluyó el directivo.
