Es tentador ver la seguridad de las aplicaciones como el dominio del equipo de seguridad de TI, pero esto es demasiado limitado para la organización actual, sobre todo porque es probable que cualquier vulnerabilidad que se explote cause interrupciones en varias operaciones comerciales.
Por el contrario, una filosofía de gestión de riesgos integrada y un enfoque de DevSecOps ven el riesgo desde una perspectiva empresarial y, al considerar el “panorama general” y filtrar la seguridad de la aplicación hacia arriba, brinda beneficios para el negocio en general.
seguridad de la aplicación
La integración de la seguridad a lo largo del ciclo de vida de la aplicación es fundamental para gestionar con éxito los riesgos empresariales. Sin embargo, es importante recordar que no todas las aplicaciones deben ser seguras como una “bóveda bancaria”.
El primer paso es comprender la función que realiza la aplicación dentro del negocio, los datos que fluyen a través de ella, las conexiones e interfaces establecidas y el impacto si la aplicación ya no está disponible o no es confiable.
Idealmente, el equipo que evalúa las posibles soluciones antes de la firma de los contratos debe incluir experiencia en seguridad. Para las aplicaciones que se desarrollan internamente de manera ágil o que se someten a actualizaciones significativas, la evaluación debe realizarse nuevamente para comprender si los riesgos han cambiado.
El rol de la seguridad de TI es entonces definir los controles apropiados para asegurar que se mantenga la confidencialidad, integridad y disponibilidad de la aplicación. De manera crítica, cuando sea posible, estos controles deben ser pragmáticos e invisibles para los usuarios, de modo que no se les impida hacer su trabajo, lo que resulta en que se vean obligados a encontrar formas de eludirlos. Es fácil que surjan soluciones alternativas que eludan las mejores prácticas y pongan en riesgo las aplicaciones y los sistemas. Shadow IT, introducida para aumentar la eficiencia, puede ser contraproducente y poner en peligro la seguridad de la organización.
Las aplicaciones rara vez funcionan en un silo. La mayoría están conectados a otras aplicaciones, o servidores de archivos, a través de interfaces o conectados a través de procesos comerciales, lo que los hace vulnerables a la manipulación o exfiltración de datos desde más arriba o más abajo en la cadena. Los datos de una aplicación solo pueden considerarse confidenciales cuando se combinan con datos dentro de una segunda aplicación, lo que hace que los controles se centren en esta última. Sin embargo, esto deja a la primera aplicación abierta al riesgo, lo que podría no detectarse y dar lugar a que la segunda aplicación (sensible) se vea comprometida inadvertidamente con datos incorrectos.
También se deben establecer procesos para gestionar la aplicación. Estos incluyen cómo se mantendrá actualizado, el monitoreo de nuevos parches de seguridad y la integración con cualquier herramienta de gestión de activos para brindar una visibilidad completa de todas las aplicaciones de la organización, junto con cualquier cambio que tenga lugar.
Es posible que se requiera la integración con otras herramientas existentes en función del riesgo. Por ejemplo, es posible que las aplicaciones críticas deban vincularse a una gestión de eventos e información de seguridad (SIEM), un centro de operaciones de seguridad (SOC) o un proceso de orquestación, automatización y respuesta de seguridad (SOAR) para detectar cualquier compromiso con ellas. Sin embargo, es posible que esto no sea posible para aquellos alojados por un tercero, especialmente si se trata de un software como servicio (SaaS), por lo que será necesario realizar otros controles, como monitorear los informes del Control de la organización del servicio 2 (SOC 2). para asegurarse de que cumplen con los requisitos de cumplimiento.
Gestión de identidad y acceso
La seguridad de las aplicaciones también depende de los controles de acceso: el uso de plataformas tecnológicas para diseñar controles relevantes para garantizar que las personas adecuadas obtengan el acceso correcto a las aplicaciones correctas en el momento adecuado para realizar su trabajo como lo necesitan.
Esto se ve reforzado por las herramientas de administración de acceso e identidad (IAM) y administración de acceso privilegiado (PAM), que automatizan los procesos, lo que reduce el costo y el esfuerzo de la administración de acceso, al mismo tiempo que la hace más efectiva; una solicitud que anteriormente podría haber tomado semanas ahora se puede realizar en cuestión de días. Esta es una forma de mostrar el valor que aporta TI a la empresa.
También es importante, ya que las organizaciones adoptan cada vez más una postura de confianza cero en materia de seguridad. Los controles de acceso pueden evitar que los usuarios maliciosos obtengan acceso no autorizado a los sistemas, crear visibilidad de quién tiene acceso a qué y mostrar cómo se mitigan los riesgos relacionados con las infracciones de segregación de funciones.
El proceso de personas que se unen, mueven y abandonan (JML), parte integral de las operaciones comerciales pero que a menudo se pasa por alto, también se beneficia de los controles de acceso. La automatización, que tradicionalmente requiere un gran procesamiento manual por parte de los administradores del sistema y el personal del servicio de asistencia técnica, libera recursos para tareas más valiosas.
La seguridad cibernética
La seguridad de las aplicaciones también requiere un enfoque en la seguridad cibernética. Las organizaciones tienen la responsabilidad de monitorear las amenazas que podrían afectar sus operaciones comerciales y garantizar que las aplicaciones y su patrimonio tecnológico se prueben y parcheen regularmente para detectar vulnerabilidades para evitar que los piratas informáticos ingresen al sistema y accedan a los datos de la organización.
Las actualizaciones automáticas brindan la mejor defensa, al mismo tiempo que reducen la necesidad de verificaciones manuales de actualizaciones de software y la interrupción posterior que esto causa. Las actualizaciones se aplican cuando es necesario, y las aplicaciones de software se pueden parchear lo antes posible para remediar cualquier error y reparación. Todavía se debe tener cuidado para garantizar que los sistemas críticos se prueben antes de implementar las actualizaciones.
Los usuarios que acceden a las aplicaciones también tienen un papel clave que desempeñar: las contraseñas seguras, la autenticación multifactor y los administradores de contraseñas ayudan a proteger el acceso a las aplicaciones. También se requiere capacitación sobre cuándo usar el acceso crítico a la funcionalidad o los datos para evitar que una persona con buenas intenciones provoque violaciones o interrupciones de datos.
Comunicación
La tecnología no es el único aspecto de la seguridad de las aplicaciones y DevSecOps: la comunicación ascendente efectiva con la alta gerencia también juega un papel vital. Es necesario evitar la jerga técnica y enmarcar los problemas desde la perspectiva empresarial.
También es importante que no se perciba que los equipos de seguridad de TI restringen las metas y los objetivos comerciales. En lugar de detener un proyecto porque potencialmente aumenta el riesgo para la organización, involucrar a los equipos en cuestión para encontrar formas de mitigar los problemas de seguridad es un enfoque más efectivo que satisface las necesidades de todos. Una vez más, asegurarse de que los procesos y los controles de seguridad se alineen con los riesgos que se enfrentan ayuda a eliminar los controles u obstáculos innecesarios que podrían impedir que el negocio funcione.
Al colaborar con proyectos y administradores de cambios, algunos controles no serán negociables desde una perspectiva de seguridad. Sin embargo, para evitar ser visto como un “bloqueador”, los equipos de seguridad deben comunicarlo en el contexto del riesgo empresarial. Se pueden considerar compromisos para elementos menores, y los equipos de seguridad acuerdan abordar el problema como parte de un cambio estratégico más amplio, por ejemplo, o marcar para monitorear durante todo el proyecto para ver si es necesario tomar más medidas.
Colaboración
DevSecOps requiere la colaboración entre la seguridad de TI y las funciones comerciales para brindarle a la empresa la comprensión vital de su entorno desde una perspectiva de riesgo.
En última instancia, la seguridad de las aplicaciones debe incorporarse en todos los aspectos del diseño, para crear una comprensión de los riesgos que podrían aplicarse a la organización. Con este conocimiento, se pueden establecer los controles apropiados para salvaguardar la aplicación, sus datos y, en última instancia, la integridad de la empresa.
