¿Son seguros los desarrollos de software en sus empresas?

“Las organizaciones necesitan un cambio radical en relación al foco que se le pone a la seguridad informática en el desarrollo de software para ser exitosos en la creciente economía digital. ¿Cómo pueden las organizaciones asegurar el desarrollo de software?”.

REDACCIÓN MDZ ONLINE

¿Son seguros los desarrollos de software en sus empresas?

No todas las organizaciones están lo suficientemente maduras en relación a la seguridad del software que utilizan. Es necesario que tengan una estrategia de mejora continua en seguridad, para llegar a niveles de madurez óptimos que impacten en la mejora de sus ciclos comerciales, procesos administrativos críticos y en la organización en su conjunto, logrando mayor crecimiento con una mejor competitividad de sus negocios.

Para integrar la seguridad a lo largo del ciclo de desarrollo de software, generalmente, el mayor obstáculo está en la cultura organizacional.  Se requiere un cambio de cultura para integrar medidas de seguridad efectivas en los procesos de desarrollo de software, una práctica crítica, pero aún con un importante espacio de mejora.

Es ampliamente aceptado por todos los ejecutivos, que el desarrollo de software apoya el crecimiento y la expansión, como así también, que es un pilar importante en la transformación digital de sus negocios. Aunque, paradójicamente, si bien se reconoce que las amenazas de seguridad derivadas de los problemas en el desarrollo de software son una preocupación creciente, no son tan claros los esfuerzos en evolucionar la "cultura organizacional existente" para integrar la seguridad en los procesos de negocio.

Tal es así, que la mayoría de las aplicaciones reportan al menos una vulnerabilidad cuando ya están en uso porque no se probó correctamente en etapas tempranas de desarrollo.

La seguridad es un principio clave en cualquier equipo de desarrollo y la mayoría de los ejecutivos reconocen como importante crear y mantener aplicaciones de manera segura. Aun así,  la cultura dentro de las organizaciones debe mejorar la colaboración entre los equipos de Informática para obtener retroalimentación más rápida acerca de las potenciales vulnerabilidades y corregirlas de una manera rápida y contundente.

La seguridad debe estar integrada en proceso de desarrollo.

Si bien la mayoría de las organizaciones reconocen que las crecientes demandas comerciales y cambios en las normativas, requieren que las organizaciones modifiquen la forma en que se gestiona la seguridad en sus procesos de desarrollo, el hecho que aún se utilicen métodos tradicionales de pruebas de aplicaciones realizadas al final del proceso de desarrollo, hace que estas prácticas no sean suficientes para evitar liberar software potencialmente vulnerable. Es esencial integrar la seguridad a todo el ciclo de desarrollo de software, haciendo pruebas tempranas dándole retroalimentación inmediata al equipo de desarrollo.

La falta de habilidades en los equipos de desarrollo y la excusa fácil del tiempo, van en contra de la seguridad, por eso, la automatización en el proceso de prueba de vulnerabilidades es cada vez más inminente.

Además de cambiar la cultura organizativa existente, otro tema clave a encarar, es la falta de habilidades en los profesionales informáticos, para integrar la seguridad en todo el proceso de desarrollo de software, desde el relevamiento de los requisitos de las aplicaciones hasta el diseño y su entrega. Aunque, también hay que reconocer, que muchas veces las organizaciones se escudan en la falta de tiempo y en las presiones que tienen para llegar con sus productos al mercado.

Los inmensos desafíos que enfrentan las empresas, hacen que el uso de herramientas de automatización sea esencial, ya que pocas organizaciones cuentan con los recursos humanos capacitados o el tiempo disponible, para enfrentar desafíos complejos y, a la vez, urgentes.

Hoy existen dos tecnologías emergentes con fuerte foco en la automatización. El Análisis de Comportamientos (Behavioural Analytics) y el Aprendizaje automático (Machine Learning) pueden ayudar a resolver la creciente brecha de habilidades profesionales y la siempre presente “falta de tiempo” a la vez que pueden mejorar la seguridad de las aplicaciones.

En las áreas informáticas de las empresas más avanzadas, hay una aceptación generalizada que estas dos tecnologías serán claves para proporcionar una mejor experiencia de usuario y, al mismo tiempo, proteger sus datos con medidas preventivas para lograr entornos seguros y predecibles teniendo control absoluto de las personas que acceden a las aplicaciones y sus datos.

En los países más desarrollados, una gran parte de las organizaciones ya utilizan análisis, aprendizaje automático e inteligencia artificial para enriquecer la comprensión de las necesidades y comportamientos de sus clientes y, ya están usando herramientas de automatización en alguna etapa del ciclo de vida del desarrollo de software.

Las empresas más avanzadas en este sentido, que aún son minoría, han logrado integrar completamente la seguridad en el ciclo de vida del desarrollo de software. Esto incluye realizar pruebas tempranas y continuas de las aplicaciones para detectar vulnerabilidades de seguridad, así como adoptar y perfeccionar progresivamente, la práctica de integrar el Desarrollo, la Seguridad y las Operaciones (DevSecOps).

En esta minoría de empresas hay un acuerdo consensuado en que la seguridad, además de proteger sus datos y sistemas, es un facilitador de nuevas oportunidades de negocios con un impacto positivo en el crecimiento de ganancias e ingresos, porque, no solo muestran una fuerte correlación entre la integración de la seguridad en el desarrollo de software y el resultado de sus negocios, sino también, cuentan con los mejores recursos, con las habilidades necesarias para tener éxito en la economía digital.

Es claro que no todas las organizaciones están liderando esta corriente de cambio, pero si comienzan con establecer una estrategia de seguridad continua, pueden acelerar el movimiento para acercarse a las empresas más avanzadas, para mejorar sus procesos administrativos y comerciales para lograr un impacto muy positivo en sus capacidades para para competir y crecer.

(*) Fernando Castillejo, es Licenciado en Sistemas y Computación con postgrados en Ingeniería de Sistemas, Informática estratégica y Gestión de Proyectos. Es experto en gestión de informática pública y privada con una vasta trayectoria en empresas multinacionales de vitivinicultura, petróleo, banca, servicios públicos, industria y energía.

Temas

¿Querés recibir notificaciones de alertas?