Evoltrue, porque la seguridad desde el principio es más rentable

A comienzos de abril se presentaba la nueva marca en sociedad en un evento en Barcelona patrocinado por Checkmarx y que contó con la presencia de diferentes clientes y el apoyo Assiteca, un bróker de seguros italiano especializado en la consultoría, intermediación aseguradora y gestión de riesgos de empresas. “Las empresas no quieren clientes con extintores, sino clientes con seguridad”, decía Silvia Sepúlveda, Head of Financial Lines en Assiteca España.

Son demasiados los casos en los que el riesgo, las brechas de seguridad, comienzan en el desarrollo de código. El DevSecOps del que tanto se habla no está tan expandido como se piensa. Hay una constante falta de conexión entre desarrolladores y responsables de seguridad. Evoltrue llega bajo el lema ‘La verdadera evolución es la seguridad desde el principio’ para dar respuesta a este problema, decía Isaac Gutiérrez, CEO de Atalanta, asegurando que “si no controlas que las aplicaciones están bien desarrolladas, no tienes seguridad”.

Continuaba diciendo Isaac Gutierrez que la propuesta de Evoltrue es animar a las empresas a evolucionar hacia una manera de hacer el software que realmente contemple la seguridad desde el principio. “Cada vez se desarrolla más rápido, y cada vez hay más vulnerabilidades y más brechas de seguridad”, decía el directivo al tiempo que aseguraba que el 40% de las vulnerabilidades pasan por aplicaciones web; que el 61% no cumplen con el OAWSP top 10 en la primera revisión y que el 97% de las aplicaciones tienen una vulnerabilidad conocida en módulos open source o en librerías de terceros. La respuesta a esta problemática es Evoltrue, “que reinventa la forma de afrontar la seguridad” combinando la experiencia en el desarrollo y de la ciberseguridad.

“Queremos poner la seguridad al servicio de los clientes”, decía Javier López-Camacho, director de Operaciones y Desarrollo de Negocio de Panel Sistemas, durante su intervención, en la que destacó que la seguridad desde el principio es más rentable y que la seguridad continua que ofrece el modelo de DevSecOps es imprescindible. Lanzaba también el directivo un mensaje: “vamos a hackear las mentes de los desarrolladores para que comprendan y se conciencien de que la seguridad es necesaria”.

Con años de experiencia en el mundo de la seguridad, Daniel Cruz, Technical Account Manager de Checkmarx aprovechaba su intervención para hablar de DevSecOps, por qué hay que apostar por ello y qué debería tenerse en cuenta a la hora de adoptarlo.

“El mundo es código”, aseguraba el ejecutivo, añadiendo que hay que intentar que los desarrolladores cometan los menores errores posibles, teniendo en cuenta que “el 70% no tienen formación o conocimiento en seguridad”. Por lo tanto, uno de los aspectos que hay que tener presente a la hora de decidirse a apostar por DevSecOps es “saber cómo voy a formar a mis desarrolladores”, sobre todo “cuando tu empresa vive de lo que se desarrolla, y de las vulnerabilidades que encuentres”.

Decía también Daniel Cruz que la seguridad debe ser un aliado del desarrollo, y que, cuando se consigue, DevSecOps no sólo permite reducir el time-to-market al poder encontrar los fallos lo antes posible; sino incrementar la confianza porque la aplicación es más segura, incrementar la automatización y extender la responsabilidad.

¿Qué le pedirías a una herramienta de revisión de código? “Que me ayude a gestionarlo”, respondía el ejecutivo de Checkmarx, explicando que la herramienta debe ser confiable, que permita priorizar en base a las necesidades de cada negocio, así como ser lo suficientemente flexible como para poder ser personalizable, y que sea gestionada, “que se le pueda decir a la herramienta cómo hacer las cosas”. Además, “tengo que buscar una herramientas que se pueda integrar en mi ecosistema de desarrollo, porque si no hay integración no habrá automatización”.

Habla el mercado

La ponencia de Daniel Cruz dejó clara la necesidad de contar con una herramienta que ayude a los equipos de desarrollo a incorporar la seguridad de una manera fácil y lo más automatizada posible. Al finalizar el evento aprovechamos para hablar con algunos de los asistentes sobre las ventajas de la propuesta de Checkmarx y la situación del mercado de desarrollo.

Patricia Martínez, Team Coach en Voxel Group, trabaja ayudando a los equipos de desarrollo a ser más eficientes y tener una mejor performance. Explica que se busca es maximizar el valor que entregan los equipos, y que “hace falta incorporar la seguridad en las decisiones de diseño mucho antes”. Aclarando que su compañía pertenece a un sector muy regulado, lo que hace que la seguridad sea un activo importante, dice también que soluciones como las de Checkmarx “ayudan a mejorar todo el proceso de evaluación de la seguridad del software que producimos”.

Nos enfrentamos al desafío del desarrollo rápido de aplicaciones que respondan a las necesidades del negocio y que además no tengan errores y cumplan con los parámetros de la ciberseguridad, comentaba Benito Cerrillo, CIO de Vichy Catalán Corporation. Aseguraba también el directivo haberse sentido “gratamente sorprendido” de la propuesta de Checkmarx que ofrece soporte en tiempo real a los desarrolladores “de forma que estos errores de seguridad no se descubran en fases mucho más avanzadas y por lo tanto son mucho más costosas”.

“Nos es fácil entender el DevSecOps porque es nuestro business”, decía Carlos Ramos Caballero, Information Security Manager en SCRM Lidl International Hub. Nos contaba también el directivo que cuando tú te dedicas a desarrollar software, el riesgo lo introduces en el software, “y por eso encuentro muy interesante que haya tantas propuestas y herramientas que cubren distintos segmentos de este ciclo de vida”. Para Carlos Ramo el reto no es comprar una herramienta, sino utilizarla, que la utilicen los desarrolladores, “saber exactamente qué es lo que tienes que mirar, entender muy bien qué es lo que estás haciendo y, el reto más importante, que es lo que estamos afrontando nosotros: la resolución en tiempo y forma de esas vulnerabilidades”.

EvolTrue

“Llevar la ciberseguridad al inicio, al desarrollo de software”. Este es el objetivo que persigue Evoltrue, que nace como una alianza entre dos compañías: Atalanta, una empresa del mercado de seguridad, y Panel, una compañía que lleva 20 años centrada en el mundo del software. Nos lo contaba Miguel Angel Nicolao, Director de Sistemas, Infraestructuras Corporativas, e Innovación de Panel Sistemas, quien añadía que se trata de llevar la seguridad al momento de la codificación “y detectar vulnerabilidades desde el inicio para que el coste de resolución de esa vulnerabilidades sea el menor”.

Evoltrue se venderá como una única marca canalizado a través de un único canal de venta, y será en un próximo evento en Madrid cuando se hará más énfasis en el lanzamiento de la marca y el catálogo de servicios.

Sobre el lanzamiento de Evoltrue decía Miguel Tomico, Regional Sales Manager de Checkmarx que “los desarrollos de aplicaciones modernas y en la nube hacen que haya nuevos retos en cuanto a la seguridad. Ésta se debe llevar a la izquierda, convirtiéndose en responsabilidad de los propios desarrolladores, estando alineada con la política y estrategia de ciberseguridad de la compañía, y sin que eso conlleve ralentización del time-to-market. Estos retos requieren de automatización y una estrategia DevSecOps y herramientas modernas que lo soporten, así como los procesos y el acompañamiento adecuado de compañías especializadas como EvolTrue”.