El futuro de los negocios depende de ser digital, pero todo el software implementado debe ser seguro y proteger la privacidad. Sin embargo, la seguridad cibernética responsable se interpone en el camino de lo que cualquier empresa realmente quiere hacer: ¡innovar rápidamente, mantenerse por delante de la competencia y sorprender a los clientes!
En este podcast grabado en Conferencia RSA 2020, nos acompaña Ehsan Foroughi, vicepresidente de productos de Brújula de seguridad, un experto en seguridad de aplicaciones con más de 13 años de experiencia administrativa y técnica en investigación de seguridad. Habla sobre una forma de crear software para que los problemas de seguridad cibernética desaparezcan, permitiendo que las empresas se concentren en lo que mejor hacen.
Buenos días. Hoy tenemos con nosotros a Ehsan Foroughi, vicepresidente de productos de Security Compass. Nos centraremos en lo que Security Compass llama Development Devil's Choice y lo que se está haciendo al respecto. Ehsan cuéntame un poco sobre ti.
Una breve introducción: comencé mi carrera en ciberseguridad hace unos 15 años como investigador haciendo análisis de malware e ingeniería inversa. Hace unos ocho años me uní a una empresa emergente llamada Security Compass. Security Compass ha existido durante 14 años más o menos, y comenzó como una firma de consultoría boutique centrada en ayudar a los desarrolladores a codificar de forma segura y sacar los productos.
Cuando me uni Elementos SD, que es la plataforma de software y el producto insignia del producto estaba en desarrollo. He usado muchos sombreros durante ese tiempo. He sido gerente de producto, he sido investigador y ahora soy el propietario del esfuerzo general de I + D de la empresa.
Gracias. ¿Me puede contar un poco sobre la misión y visión de Security Compass?
La visión de la empresa es un mundo en el que las personas puedan confiar en la tecnología y la forma de llegar allí es ayudar a las empresas a desarrollar software seguro sin ralentizar el negocio.
Aquí está nuestra primera gran pregunta. Los objetivos principales de la mayoría de las empresas son innovar rápidamente, adelantarse a la competencia y sorprender a los clientes. ¿La ciberseguridad responsable se interpone en el camino de eso?
Ciertamente se siente así. Cada industria hoy en día depende del software para ser competitivo y generar ingresos. El software se está convirtiendo en una ventaja competitiva e impulsa el valor empresarial. A medida que los productos digitales se vuelven críticos, está viendo que muchas compañías consideran la seguridad como un ciudadano de primera clase en su esfuerzo de DevOps, y lo llaman DevSecOps en estos días.
El problema es que cuando profundizas en los detalles, se basan principalmente en procesos reactivos como el escaneo y las pruebas, que encuentran los problemas demasiado tarde. En ese momento, se enfrentan a una difícil decisión de detener todo y volver a arreglarlo, o aceptar un gran riesgo y seguir adelante. A esto lo llamamos desarrollo rápido y arriesgado. Hace que el software salga a producción rápidamente, al eliminar los procesos iniciales, pero es una bomba de tiempo para la compañía y la marca. No me gustaría estar sentado en eso.
La mayoría de las empresas saben que necesitan seguridad proactiva, como modelado de amenazas, evaluaciones de riesgos, capacitación en seguridad. Eso es algo responsable de hacer, pero es lento y se interpone en el camino de la velocidad al mercado. A esto le llamamos desarrollo lento y seguro. Puede ser seguro por el cumplimiento de la seguridad, pero se abre a riesgos competitivos. Esto es lo que llamamos Development Devil's Choice. Cada compañía que confía en él tiene dos malas opciones, rápida y arriesgada o lenta y segura.
Interesante. ¿Cree que la situación mejorará con el tiempo a medida que las empresas tengan más experiencia en el tratamiento de este dilema?
Creo que va a empeorar con el tiempo. Hay más regulaciones por venir. Hace un par de años surgió el RGPD, y luego es la Ley de Privacidad del Consumidor de California, y luego las nuevas regulaciones PCI.
La tecnología también se está volviendo más compleja cada día. Tenemos Dockers y Kubernetes, hay gestión de identidad en la nube y la vida útil de la tecnología se está reduciendo. Ya no tenemos los sistemas Linux de fin de vida de 10 años en los que podemos confiar.
Entonces, ¿cómo están lidiando las empresas con este problema en la era del desarrollo ágil?
Estoy tentado a decir que en lugar de lidiar con eso, están luchando con eso. La mayoría de los equipos ágiles definen su trabajo a través de historias de usuarios. En raras ocasiones, los equipos se toman el tiempo para compilar los requisitos y hornear por seguridad, y convertirlos en sus historias. Pero en la mayoría de los casos, los requisitos de seguridad son desconocidos e implícitos. Esto significa que confían en el buen juicio de las personas y en la experiencia. Esta experiencia es difícil de encontrar y tenemos una escasez de habilidades en el espacio de seguridad. Cuando los encuentras, también son muy caros.
¿Cómo integran estos equipos el cumplimiento de la seguridad en su flujo de trabajo?
En nuestra experiencia, la mayoría de los equipos ágiles han dependido de las pruebas y el escaneo para encontrar los problemas, y eso significa que tienen un desafío. Cuando descubren el problema, tienen que averiguar si deberían regresar y arreglarlo o si corren el riesgo y avanzan. De cualquier manera, es mucho mosaico. Cuando se envía el software, todos cruzan los dedos y esperan que todo salga bien. Esto generalmente conduce a muchos silos. La seguridad se vuelve opuesta al desarrollo.
¿Qué sucede cuando ocurren los silos? ¿Los equipos están desperdiciando su esfuerzo? ¿Reelaboración de software?
Agrega mucho tiempo y ansiedad. El trabajo termina siendo manual, costoso y dolorosamente deliberado. El lado del cumplimiento de la seguridad del negocio se frustra con el desarrollo, encuentran inconsistencias entre ellos y simplemente se convierte en un desafío.
No importa cómo las empresas desarrollen software, sus pasos para la seguridad y el cumplimiento probablemente no sean muy precisos. Eso significa que la administración tampoco tiene visibilidad de lo que está sucediendo. Hay muchas herramientas y procesos hoy para verificar el software que se está creando, pero por lo general no ayudan a que sea seguro desde el principio. Por lo general, señalan los problemas y muestran cómo se construyó mal.
Descubrirlo es un desafío porque exacerba este dilema de desarrollo versus seguridad. Es como si le dijeran que no necesita cirugía cardíaca si comió alimentos saludables durante los últimos 10 años. Es un poco tarde y no es particularmente útil.
Te escucho describir un problema grave que persigue a los líderes de la compañía. Parece que tienen dos opciones bastante malas para el desarrollo, rápido y arriesgado o lento y seguro. ¿Es asi? ¿Las empresas están condenadas a elegir entre estos dos?
Bueno, hay esperanza. Hay una tercera opción emergente. No necesita ser rápido y arriesgado o lento y seguro. La opción es ser casi tan rápido, sin disminuir la velocidad y ser seguro al mismo tiempo. Lo llamamos el desarrollo equilibrado. Es similar a cómo la aplicación Waze sabe hacia dónde conduce y le dice específicamente en cada paso hacia dónde debe ir y hacia dónde debe girar.
La clave es dejar la seguridad en el ciclo, dar una vuelta rápida alrededor del desarrollo y asegurarse de que se haga en conjunto. Las pruebas y el escaneo no deberían encontrar nada al final del ciclo si se hace correctamente. Estos sistemas aprovechan principalmente la automatización para equilibrar el esfuerzo de desarrollo entre lo rápido y arriesgado y lo lento y seguro.
Ehsan, ¿puedes contarnos más sobre estos sistemas? ¿Cómo funcionan y cómo apoyan los trabajos de los equipos de seguridad?
Bueno, la automatización es la clave. Comienza capturando el conocimiento de los expertos en una base de conocimiento y automatizándolo para que el sistema comprenda en qué está trabajando, qué está haciendo y entregando las acciones que necesita tomar para lograr la seguridad en el momento tiempo que lo necesites.
También actualiza constantemente la base de conocimientos para estar al tanto de los cambios en la regulación, los cambios tecnológicos y, durante el desarrollo, se informa a los equipos sobre los últimos cambios. Cuando finaliza el proyecto, el sistema casi termina con las acciones y actividades de seguridad y cumplimiento, y todo esto también está documentado para que la administración pueda ver qué riesgo están asumiendo.
Muchas gracias por la comprensión y por la discusión reflexiva. ¿Qué consejo le daría a los líderes de la empresa cuando comiencen a abordar estos problemas?
Bueno, tengo un par de consejos, principalmente basados en las compañías con las que hemos estado trabajando. Yo diría, mantente pragmático y equilibrado. Concéntrese en obtener un 80% de rapidez y un 80% de seguridad. No te atasques. Número dos, diría que eduque a su organización, especialmente a los ejecutivos. La aceptación ejecutiva es muy importante. Sin eso, no puede cambiar el proceso y no puede hacerlo en silos desde un pequeño equipo. Tienes que conseguir el apoyo y la aceptación de la gente.
El siguiente es invertir en automatizar el enfoque equilibrado. Esta inversión es a veces difícil, pero cuanto antes lo haga, mejor. Veo que muchas compañías se molestan invirtiendo en proyectos más pequeños y fáciles, como actualizar y actualizar su práctica de escaneo. Por lo general, vale la pena ir al centro del problema e invertir en eso, porque todas sus inversiones futuras están más optimizadas.
También me parece útil cuando trabajo con los desarrolladores, para comenzar siempre con ¿por qué? ¿Por qué estás haciendo esto? ¿Por qué les pides que sigan cierto proceso? Si entienden el valor comercial de la misma, serán más cooperativos con usted.
Y finalmente, pruebe nuestro sistema. Tenemos una plataforma llamada SD Elements que le permite automatizar su desarrollo equilibrado.
Si alguien está escuchando e interesado en conectarse con usted o con Security Compass, ¿cómo pueden encontrarlo?
Bueno, deberías visitar nuestro sitio web en www.securitycompass.com. Nos encantaría demostrarte nuestro lema: Ve rápido y mantente seguro. Gracias por unirte a nosotros.
Fuente: https://www.helpnetsecurity.com/2020/03/09/sd-elements/
