Cómo evitar una filtración de datos: Tres formas de incorporar la seguridad al desarrollo de software

Apodado como el ataque digital moderno de Pearl Harbor, la filtración de SolarWinds está poniendo el foco en la seguridad del desarrollo de software.

Si bien 2020 finalmente terminó, el nuevo año podría ser más difícil con los ataques cibernéticos cada vez más sofisticados. El mes pasado, SolarWinds, una empresa de software que atiende a más de 300.000 clientes, incluidas agencias gubernamentales de EE. UU. y la gran mayoría de las empresas de Fortune 500, fue violada por piratas informáticos que irrumpieron en su sistema e insertaron código malicioso en su software propietario, el programa de monitoreo de red Orion.

Si bien aún se están revelando los detalles, sabemos que el servidor de parches fue pirateado y el archivo de malware comprometido se usó para infectar el canal de DevOps de la empresa. Posteriormente, el archivo de malware se envió a todos los servidores de SolarWinds en la siguiente actualización de software.

Hasta 18 000 de sus clientes descargaron la actualización de software que contenía el código malicioso. Si bien hubo bastantes errores en esta saga, desde la mala administración de contraseñas y las actualizaciones no supervisadas hasta la falla en la detección de intrusiones, resalta la importancia de integrar la seguridad en el ciclo de vida del desarrollo de software.

Con la rápida adopción de la tecnología digital durante el COVID-19, casi todas las empresas se dedican a la creación de software y aplicaciones. Es evidente que el software se está comiendo más mundo, más rápido. La pandemia se convirtió efectivamente en un catalizador para que las amenazas a la seguridad cibernética aumentaran exponencialmente a medida que crecía la huella digital de casi todas las organizaciones. Cada dato es ahora un posible punto de aprovechamiento o acceso para los ciberdelincuentes.

Este incidente es un recordatorio de que los líderes tecnológicos deben examinar más de cerca las vulnerabilidades introducidas a nivel de código y encontrar formas de introducir seguridad en una etapa más temprana del ciclo de vida del desarrollo de aplicaciones. Compartimos 3 formas de adoptar un proceso de DevSecOps y lanzar un software seguro y de calidad más rápido en 2021.

1. Desplace la seguridad a la izquierda

Al desplazar la seguridad hacia la izquierda, los equipos de desarrollo, seguridad y operaciones pueden garantizar que se cumplan los estándares de seguridad desde el inicio del proyecto sin ralentizar la entrega. Cuando los equipos de software llevan la seguridad hacia adelante en el ciclo de vida del desarrollo, se prueba más código, se agilizan las revisiones de seguridad, se reduce la fricción entre los equipos y es más probable que la empresa termine con un producto seguro, entregado a tiempo porque los puntos conflictivos y los cuellos de botella se identifican y resuelven más rápidamente.

Abordar cualquier vulnerabilidad potencial después del desarrollo consume demasiado tiempo y aumenta exponencialmente el riesgo de problemas de seguridad, que pueden ser extremadamente costosos y perjudiciales para la reputación de la empresa.

2. Amplifique la retroalimentación continua

Los bucles de retroalimentación son una forma poderosa de analizar y optimizar los procesos de entrega de software. Cuanto más cortos sean, mejor podrán reducir el riesgo, mejorar la calidad y garantizar una mejor respuesta al cambio. La implementación del ciclo OODA (Observar, Orientar, Decidir, Actuar) puede crear un ciclo de retroalimentación continuo para que todas las partes sean responsables de cualquier incidente de seguridad que pueda ocurrir y una fácil solución en caso de una vulnerabilidad como esta.

3. Automatice la seguridad, incluidos sus datos

La mayoría de la gente ve la seguridad como un cuello de botella que causa retrasos y frustración, pero DevOps brinda una gran oportunidad para mejorar la seguridad. Muchas de las prácticas que vienen con DevOps, especialmente la automatización, permiten que las empresas integren la seguridad como un componente clave de sus procesos. A medida que se automatizan más pruebas, hay menos riesgo de introducir fallas de seguridad debido a errores humanos. Las pruebas son más eficientes y el proceso es consistente y predecible.

Del mismo modo, desde el punto de vista de los datos, la gestión responsable de los datos requiere que las organizaciones implementen barreras que disminuyan sus posibilidades de manejar mal los datos confidenciales, incluyendo herramientas automatizadas que identifiquen y oculten los datos. Se debe realizar un enmascaramiento de datos adecuado antes de que los datos salgan de las manos de los desarrolladores porque los humanos y los sistemas fallarán inevitablemente.

Por último, la automatización de los sistemas de monitoreo de amenazas también puede ser valiosa, ya que brinda alertas en tiempo real, donde los equipos pueden colaborar fácilmente y permitir que las actualizaciones autorizadas fluyan a las personas adecuadas.

Obtenga su lista de verificación de gestión de datos de prueba para aprender cómo entregar datos con calidad de producción durante todo el ciclo de desarrollo y reducir los defectos relacionados con los datos.