La integración de la seguridad en el desarrollo de software, entre el reto y la necesidad

  • Actualidad

Según un nuevo estudio, la cultura organizativa, junto con la falta de capacidades y de tiempo, son los principales motivos por los que la seguridad no se está incluyendo en todas y cada una de las fases del ciclo de vida del desarrollo de software en las empresas.

También puedes leer...

Todo sobre Spectre y Meltdown

SecOps a examen

Los mitos de las Brechas de Seguridad

La creación de un SOC

Cómo utilizar la Dark Web

Un reciente informe de CA Veracode sobre el estado de la seguridad del software resaltaba que las vulnerabilidades continúan apareciendo a un ritmo alarmante en software que no han sido testado previamente desde el punto de vista de la seguridad y que organizaciones de todo el mundo reconocen que el 77% de las aplicaciones tiene al menos una vulnerabilidad en un análisis inicial.

También es verdad que desde hace tiempo las empresas son conscientes de que desarrollar software seguro es clave en la evolución de las empresas hacia modelos digitales y así lo reconfirman las conclusiones del informe Integrating Security into the DNA of Your Software Lifecycle, elaborado por los analistas de Freeform Dynamic para CA, que ha contado con la participación de 1.200 responsables de TI, de los que casi 500 eran europeos.

Los encuestados españoles tienen claro que el desarrollo de software ayuda al crecimiento y la expansión del negocio, como confirmaron el 96% de los encuestados, y que impulsa la transformación digital (87%). Sin embargo, la premisa de integrar la seguridad en todas las fases del desarrollo de software no siempre se cumple. De hecho, de las respuestas españolas se desprende que las empresas están teniendo problemas para integrar prácticas de seguridad como parte del ciclo de vida del desarrollo de software, una práctica fundamental para el éxito de las empresas en la economía digital.

El 81% coincide en que las amenazas de seguridad derivadas de problemas de desarrollo de software son una preocupación creciente, la cifra más alta entre los países europeos encuestados. Éste es un gran caballo de batalla para muchas compañías y puede ser un lastre para las españolas, ya que el 69% de los participantes locales mencionaron la cultura existente como la principal barrera para integrar la seguridad en sus procesos, y sólo el 31% está muy de acuerdo en que la cultura y prácticas corporativas apoyan la colaboración entre desarrollo, operaciones y seguridad.

Según el informe, una mayoría de las organizaciones españolas encuestadas reconocen que la rapidez de los cambios, tanto en el ámbito regulatorio como de negocio, hace que tengan que modificar la manera en la que gestionan la seguridad en sus procesos de desarrollo de software. En concreto, se indica que el enfoque tradicional de probar la seguridad al final del proceso de desarrollo ya no es suficiente: un 92% creen que es esencial o importante que la seguridad esté más integrada en el proceso de desarrollo de software, y no con prisas al final del mismo. Además, un 79% están de acuerdo o muy de acuerdo en que es crítico integrar las prácticas de seguridad más pronto en el ciclo de desarrollo del software, en otras palabras, adoptar DevSecOps.

Pero si hablamos de buenas prácticas, los porcentajes son bastante más bajos. Por ejemplo, tan solo el 29% de las organizaciones españolas encuestadas han hecho de la seguridad una parte integral de DevOps (por ejemplo, implementando DevSecOps), comparado con el 44% de las francesas. También un 29% ya ha implementado pruebas continuas desde etapas tempranas en las aplicaciones para detectar vulnerabilidades de seguridad.

Aparte de la cultura organizativa existente, los encuestados también identifican como obstáculos la falta de capacidades y de tiempo, algo que pueden ayudar a superar dos tecnologías basadas en la automatización: la analítica de comportamiento y el aprendizaje automático.