Cinco cosas en las que los equipos de seguridad y desarrollo deberían centrarse
Mientras nos despedimos de 2021 y dedicamos tiempo a reflexionar sobre los cambios de la industria, reevaluar nuestros flujos de trabajo y procedimientos para identificar a dónde nos llevará 2022, es un momento excelente para abordar también nuestras prácticas de seguridad y las formas en que podemos mejorarlas, como bien.
Después de considerar los principales desafíos que vi con los equipos de desarrollo y los equipos de seguridad dentro de los entornos de desarrollo, se me ocurrió una lista de formas de enfocar nuestras mejoras de seguridad para 2022.
1. Seguridad proporcionada por diseño
Es probable que haya escuchado el término «por diseño» muchas veces cuando se trata de privacidad o seguridad, y aunque es una de mis frases favoritas, a menudo descubro que necesito dar más detalles sobre lo que realmente significa.
Por ejemplo, creé una lista muy simplificada de fases arriba. Esto no es perfecto ni proporcionado, pero lo que hace es resaltar las fases de alto nivel de un programa.
Desde la izquierda, vemos la ‘concepción’ donde se genera la idea y, con suerte, se valida junto con el diseño/enfoque inicial (potencialmente, algún pseudocódigo e incluso diagramas de flujo). Desde una perspectiva de seguridad y privacidad, se espera que esta fase también incluya la identificación de posibles controles que se implementarán para mitigar algunos riesgos, reducir otros y generar ideas sobre cómo validar la efectividad.
Con el tiempo, me he dado cuenta de que a menudo se malinterpreta una pieza vital para crear una solución resiliente. La metodología del mapeo de amenazas y la comprensión de cómo poner eso en el contexto de su solución a menudo puede olvidarse, ignorarse o tergiversarse. Sin un conocimiento preciso de los riesgos a los que se enfrentará su solución, es muy probable que estos se pasen por alto, se ignoren y, en última instancia, se exploten.
2. Documentación clara y confiable
Un desafío que he visto una y otra vez a lo largo de mi carrera es que los equipos luchan por mantener la documentación. Esto llega a un punto crítico cuando se realizan auditorías externas, pruebas de penetración, cambios de red, cambios de empleados, el uso de soluciones por parte de personas externas que usan soluciones, respuesta a incidentes, actualización, alineación de programas de inteligencia de amenazas y más.
Esencialmente, la documentación es una parte clave de cualquier entorno, pero se olvida fácilmente, se apresura y/o se deja desactualizada. Además, también me sorprendió darme cuenta de que la documentación profesional requiere cierta habilidad y, como era de esperar, requiere tiempo y esfuerzo que el liderazgo senior debe respaldar.
Para las organizaciones que se encuentran en la categoría de absolutamente ninguna documentación, les sugiero implementar un programa que tenga como objetivo:
- Identifique todas las áreas clave requeridas para priorizarlas.
- Identifique el estándar que debe cumplir esta documentación.
- Implemente un enfoque realista por etapas que los equipos que manejan esto puedan cumplir, con prioridad para que no se quede después de un período ocupado.
- Utilice la gobernanza y los registros para garantizar que se cumplan los plazos y que se identifiquen los riesgos en los que pueden retrasarse.
Para las organizaciones que cuentan con documentación existente, que puede requerir actualización y mantenimiento, los pasos anteriores son un excelente lugar para comenzar a ver dónde se podría haber perdido un enfoque formalizado. Avanzando hacia la maduración de este programa, las consideraciones adicionales son:
- Roles y responsabilidades formalmente documentados y aplicados a través de KPI y métricas. Estos pueden ser considerados dentro del proceso de revisión de los empleados.
- El apoyo y la aceptación mostrados por parte de la alta dirección. Esto se puede lograr con cosas como no esperar que los empleados simplemente se adapten, sino tener tiempo dentro de su horario de tiempo completo para cumplir con las demandas de la documentación adecuada.
- Inclusión dentro de la revisión formal o agenda de gobierno del proyecto, donde los empleados pueden plantear inquietudes o discutir puntos cuando sea necesario.
Si bien la documentación puede no parecer un problema masivo, como se indicó anteriormente, abarca una variedad de programas, también admite por diseño y de forma predeterminada la implementación de controles de seguridad y privacidad, incluso consideraciones como hacer uso de soluciones de confianza cero .
3. Formación y metodologías centradas en la seguridad
La ciberseguridad se compone de Personas, Procesos, Tecnología. Cada uno es clave, pero las personas son lo primero por una razón. Para implementar soluciones realistas y apropiadas, necesita trabajar con su gente en su organización. Desafortunadamente, hablar y trabajar con desarrolladores ha mostrado muchas situaciones en las que realmente quieren crear una solución más segura e incorporar seguridad por diseño, pero no están seguros de por dónde empezar.
Como dijo un amigo: “Me enseñaron cómo construir soluciones eficientes, me enseñaron cómo crear, pero nunca me enseñaron cómo protegerlas. Qué considerar, adónde ir, o incluso fundamentos de seguridad”.
Muchas veces, creo que esperamos que los desarrolladores sean estas máquinas mágicas capaces de producir soluciones basadas en una variedad de conjuntos de habilidades y carreras, pero que no los apoyan con los recursos adecuados para lograrlo.
Las organizaciones que buscan incorporar mejores prácticas de seguridad pueden respaldar este artículo preguntando:
- ¿Tiene su entorno un ciclo de vida de desarrollo seguro, tanto documentado como practicado? Es fantástico tener las políticas y los procedimientos y un requisito para cualquier certificación de la industria como ISO/IEC 27001, pero los equipos también necesitan conocer las metodologías implementadas y tener los recursos para seguirlas.
- ¿Cuándo se tomó el último curso formal de seguridad? Esto no es conciencia de seguridad, como se menciona a continuación, sino capacitación formal sobre metodologías para asegurar la codificación, fundamentos de seguridad y más.
- ¿Existe un Programa de Concientización sobre Seguridad formalizado? A menudo, realizo una evaluación de seguridad y, aunque la respuesta será «Ofrecemos capacitación», no existe un enfoque formalizado, es decir, identificación de métricas, comportamientos que deben abordarse, enfoque documentado de cómo se abordan, etc.
4. Mantén tus cimientos:
Si bien escuchamos continuamente sobre nuevas soluciones atractivas, emocionantes días cero y palabras clave de marketing, la realidad es que la mayoría de los incidentes son oportunistas y un fracaso en nuestros cimientos.
Las organizaciones que buscan traer el nuevo año con resiliencia deben mirar a sus cimientos y validar si han eliminado o mitigado adecuadamente los riesgos duraderos. Si bien algunos de los que ya hemos discutido anteriormente, los programas para investigar son:
- Gestión de riesgos, incluido el mapeo de amenazas
- Gestión de activos y parches
- Gestión de vulnerabilidades
- Inteligencia de amenazas
- Gobernanza de terceros
5. Validación continua de su solución y su entorno
Se trata de incorporar seguridad por diseño desde la concepción de la idea hasta el lanzamiento y durante todo el ciclo de vida de cambios de la solución. También incluye la validación continua de que sus procesos se aplican proporcionalmente en función de la solución que crea, incluso cuando cambia su entorno.
Un excelente lugar para comenzar para todas las organizaciones, independientemente de su estado actual, es realizar una evaluación de madurez de seguridad cibernética (CMA) mientras se crea un presupuesto efectivo. La razón por la que un CMA es tan efectivo es que comienza con la identificación de su riesgo inherente. Ese es el riesgo para la organización antes de que se implementen los controles de seguridad. Además, todas las sugerencias anteriores se consideran dentro del riesgo general y la madurez de su organización.
Cuando realizo una evaluación de madurez, observo cinco áreas: Supervisión y administración de riesgos cibernéticos, Colaboración e inteligencia de amenazas, Controles de seguridad cibernética, Administración de dependencia externa y Resiliencia y administración de incidentes cibernéticos. Independientemente del tipo de organización o de las soluciones que se construyan, es fundamental que la base sea lo suficientemente sólida para construir una solución resiliente.