Seguridad

El 75% de los practicantes de AppSec ven una brecha cultural creciente entre AppSec y los desarrolladores.

Según un nuevo estudio, el 39 % de los desarrolladores dicen que los equipos de seguridad son responsables de proteger las aplicaciones, mientras que el 67 % de los profesionales de AppSec dicen que sus equipos son responsables.

El 75 de los practicantes de AppSec ven una brecha
Fuente: ZeroNorth y Ponemon Institute

Las organizaciones se enfrentan a una desconexión cada vez mayor entre los equipos de seguridad y DevOps, lo que crea grandes exigencias para que los CISO implementen el cambio. Según un nuevo estudio del Ponemon Institute y ZeroNorth, el 75 % de los profesionales de seguridad de aplicaciones y el 49 % de los desarrolladores creen que existen diferencias culturales entre sus respectivos equipos que pueden aumentar el riesgo organizacional para las aplicaciones y la infraestructura.

Cobertura de lectura obligada para desarrolladores

Según el estudio, la velocidad es la cultura de DevOps y, a menudo, es lo opuesto a una cultura de seguridad: aversión al riesgo y rigurosa. Pero a medida que se desarrolla la transformación digital, las dos entidades enfatizan la necesidad de que los equipos y desarrolladores de AppSec trabajen juntos. Con una mayor adopción de metodologías DevOps, los equipos están entregando software a un ritmo cada vez mayor.

El Ponemon Institute encuestó a 581 profesionales de seguridad y 549 desarrolladores sobre la brecha cultural, su impacto, cómo COVID-19 y el teletrabajo lo están afectando y cómo superarlo.

mirar: 5 beneficios de DevOps (República tecnológica)

Los hallazgos resaltan el impacto de las diferencias culturales entre AppSec y los equipos de desarrollo en la entrega y seguridad del software. Por ejemplo, más de la mitad de los desarrolladores (56 %) dijo que AppSec sofocaba la innovación, según el estudio.

LEER  HP ofrece $ 10,000 a los piratas informáticos para encontrar fallas en sus impresoras

Sin embargo, el 65 por ciento de los profesionales de AppSec dicen que no creen que a los desarrolladores les importe proteger las aplicaciones en las primeras etapas del ciclo de vida del desarrollo de software.

ZeroNorth y Ponemon Institute dijeron que AppSec y los desarrolladores deben compartir una cultura centrada en ofrecer aplicaciones seguras y desarrollar una comprensión común del riesgo.

Sin embargo, el equipo no fue consistente en este sentido. Solo el 35 por ciento de los desarrolladores dicen que el riesgo de las aplicaciones está aumentando, mientras que el 60 por ciento de los profesionales de AppSec creen que esto es cierto, según el informe.

Los CISO deben empoderar a ambos grupos

John Worrall, CEO de ZeroNorth, dijo en un comunicado: «Como demuestra esta encuesta, ya existe una brecha cultural y, a medida que las organizaciones se trasladan a DevOps, los modelos de seguridad tradicionales y centralizados se volverán obsoletos. Esta brecha solo empeorará». esto abre la puerta para que los CISO se conviertan en los pilares que cierran la brecha entre AppSec y la cultura de desarrollo».

Si los CISO pueden crear una cultura en la que tanto el desarrollo como la seguridad puedan ejecutar sus prioridades, pueden cambiar el statu quo, que sofoca la innovación, mientras mejoran drásticamente la seguridad, dijo Worrall.

En un comunicado, Larry Ponemon, presidente y fundador del Instituto Ponemon, dijo que el estudio «revela el grave impacto que AppSec y las diferencias culturales de los desarrolladores pueden tener en la postura de seguridad de una organización».

ZeroNorth y Ponemon Institute sugieren cinco pasos que las organizaciones deben tomar para ayudar a cerrar la brecha cultural:

  • Asegúrese de que se asignen suficientes recursos para garantizar que las aplicaciones estén protegidas durante las fases de desarrollo y producción del SDLC.

  • Aplicar prácticas de seguridad de aplicaciones de forma coherente en toda la empresa

  • Garantizar que los desarrolladores tengan el conocimiento y las habilidades para abordar vulnerabilidades críticas en el ciclo de vida de desarrollo y producción de aplicaciones.

  • pruebas a lo largo del proceso de desarrollo de la aplicación, y

  • Asegúrese de que los métodos de prueba se escalen de manera eficiente de pocas a muchas aplicaciones.

Uno de los principales problemas revelados por la investigación es que los desarrolladores y los profesionales de AppSec no están de acuerdo sobre qué función es responsable de la seguridad de una aplicación. El treinta y nueve por ciento de los desarrolladores dijeron que su equipo de seguridad era responsable, mientras que el 67 por ciento de los profesionales de AppSec dijeron que su equipo era responsable, según el informe.

Otro hallazgo, según el informe, fue que los encuestados de AppSec y los desarrolladores reconocieron que trabajar juntos era un desafío, y los encuestados de AppSec dijeron que esto se debía a que los desarrolladores lanzaron código con vulnerabilidades conocidas. En cambio, los desarrolladores dicen que la seguridad no comprende la presión de cumplir con los plazos y que la seguridad sofoca su capacidad de innovar.

La transformación digital está presionando a las organizaciones para que desarrollen aplicaciones a un ritmo más rápido, poniendo en riesgo la seguridad. El estudio encontró que el 65 por ciento de los desarrolladores encuestados dijeron que se sentían presionados para desarrollar aplicaciones más rápido que antes de la transformación digital, y el 50 por ciento de los encuestados de AppSec estuvieron de acuerdo.

El impacto del COVID-19 y el teletrabajo en las brechas culturales

Una cosa en la que ambos grupos están abrumadoramente de acuerdo es que el teletrabajo es estresante: el 66 por ciento de los desarrolladores y el 72 por ciento de los encuestados de AppSec. Solo el 29 por ciento de los desarrolladores y el 38 por ciento de los encuestados de AppSec dijeron que estaban muy seguros de que los trabajadores remotos cumplían con los requisitos de seguridad y privacidad de su organización.

Además, el 74 % de AppSec y el 47 % de los desarrolladores encuestados dijeron que su organización era muy eficaz para detener las amenazas de seguridad antes de la COVID-19. Después del inicio de la pandemia, solo un tercio de los encuestados en ambos grupos dijeron que su efectividad era alta, según el informe.

LEER  Controle sus documentos con Office 2003 Information Rights Management

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba