1 53 Table of Contents 55 124

Segurilatam 018

/ Segundo cuatrimestre 2021 54 artículo técnico Ciberseguridad L a importancia de publicar software de manera ágil ha convertido el desarrollo de aplicaciones en un diferen- ciador clave para muchas organizacio- nes. Sin embargo, la seguridad es un asunto pendiente: en el informe de Ve- rizon Data Breach Investigations Report de 2021, se ha determinado que en los vectores de ataque, las aplicaciones web representan el 89% del total. Pese a que esta cifra ha ido en au- mento en los últimos años, lo cierto es que en la mayoría de las organizaciones hay más desarrolladores de aplicacio- nes que profesionales de seguridad. Para paliar esta falta de recursos en el ámbito de profesionales de seguridad, las organizaciones pueden recurrir a metodologías que facilitan el desarrollo seguro. Una idea fundamental en estas metodologías es incluir la seguridad du- rante todo el ciclo de vida, incluyendo las fases iniciales, también conocido como push left , y otra, automatizar la seguridad lo más posible, o DevSecOps. ‘Push left’ y automatización El movimiento push left , o cambio a la izquierda , propone que la seguridad se aplique desde el primer día del ciclo de desarrollo. Esta idea siempre ha tenido sentido económico porque es mucho más caro corregir problemas a medida que avanza el ciclo de vida. Un defec- to resuelto en el punto de creación del código es más fácil de corregir, mientras que corregir uno que ha escapado en la fase de pruebas generalmente requiere más esfuerzo y costo. En el peor de los casos, un defecto que llega a producción puede implicar la involucración del soporte técnico o incluso el usuario, lo cual tiene claros efectos negativos. En resumen, el push left propone a las organizaciones tratar las vulnerabilidades de seguridad de las aplicaciones como defectos de funcio- nalidad e incluir la seguridad desde el comienzo. De DevOps a DevSecOps El desarrollo de aplicaciones modernas se caracteriza por enfoques iterativos y cambios constantes en las aplicaciones ya puestas en producción. Los largos procesos de recopilación de requisi- tos y creación de prototipos asociados con un ciclo de vida de desarrollo de software en estilo cascada han desa- parecido. La metodología DevOps ha introducido el concepto de alinear más estrechamente el desarrollo y las ope- raciones, rompiendo los silos que había anteriormente. La evolución en la seguridad de las aplicaciones D aniel B lázquez P roduct M arketing M anager de H div S ecurity

RkJQdWJsaXNoZXIy ODM4MTc1