Language
Cómo los CISO pueden pasar de la seguridad de las aplicaciones a la seguridad del producto
HogarHogar > Blog > Cómo los CISO pueden pasar de la seguridad de las aplicaciones a la seguridad del producto
ÚLTIMAS NOTICIAS

Cómo los CISO pueden pasar de la seguridad de las aplicaciones a la seguridad del producto

Aug 06, 2023

Los equipos de seguridad de productos se están volviendo más populares por el profundo enfoque de seguridad que adoptan en comparación con los equipos de Appsec. Pero hay más, que incluye la creación de una cultura consciente de la seguridad.

Ya sea que lo llame seguridad de desplazamiento a la izquierda, seguridad integrada o seguridad por diseño, las empresas con visión de futuro hoy en día entienden que deben considerar la seguridad durante todo el ciclo de vida no solo de las aplicaciones individuales sino también del producto comercial que utilizan. apoyo. Para ello, un número cada vez mayor de empresas está utilizando equipos de seguridad de productos y responsables de seguridad de productos como una forma de efectuar este cambio.

La seguridad del producto amplía el alcance de la seguridad de las aplicaciones tradicionales mucho más allá de las pruebas y llega a los ámbitos de la promoción, la colaboración entre grupos empresariales, el pensamiento de diseño, el modelado de amenazas, la planificación arquitectónica y la verdadera gestión de riesgos. "Al participar activamente en cada etapa del proceso de desarrollo, el equipo de seguridad del producto ayuda a incorporar consideraciones de seguridad en el diseño, la arquitectura, la codificación, las pruebas y el lanzamiento a producción del software", afirma Chris Roeckl, director de producto de Appdome. "Este enfoque proactivo es un círculo virtuoso, minimiza el riesgo de vulnerabilidades y garantiza que la seguridad sea un aspecto integral del producto final".

Cuando se hace correctamente, la seguridad del producto se convierte en una palanca importante para cumplir las promesas hechas por los defensores de DevSecOps durante años.

Si bien la seguridad de las aplicaciones y la seguridad del producto comparten un propósito singular (ayudar a una organización a lanzar y mantener software seguro), el papel que desempeña cada función para lograr este objetivo es diferente. "Appsec realmente se centra en las pruebas, la validación y la cadena de herramientas, mientras que la seguridad del producto abarca las reglas comerciales de todo el SDLC, incluidas esas partes humanas del desarrollo de software", explica Michele Chubirka, defensora de la seguridad en la nube del personal de Google.

Además, mientras el equipo de seguridad de aplicaciones profundiza en cada aplicación individual que tiene la tarea de reforzar, la seguridad del producto tiene una visión general, de extremo a extremo, de la seguridad de toda la pila que ayuda a ofrecer un producto determinado. “La seguridad del producto es una extensión de la seguridad de las aplicaciones. La seguridad de las aplicaciones se concentra en proteger el código y la funcionalidad de una única aplicación de software”, afirma David Lindner, CISO de Contrast Security. "La seguridad del producto adopta una visión holística de todo el producto tecnológico, considerando el entorno más amplio y los posibles vectores de ataque que pueden surgir de las comunicaciones entre varios componentes".

Este entorno más amplio podría incluir numerosas aplicaciones a la vez, componentes de hardware y servicios asociados. La seguridad del producto representa su postura de seguridad cuando se implementan juntos.

Para algunas empresas, la seguridad del producto puede centrarse únicamente en los clientes externos, pero otras consideran que incluso los proyectos internos, como los sistemas financieros o de recursos humanos críticos, están dentro de ese paraguas de seguridad del producto. De cualquier manera, la perspectiva de seguridad del producto lo abarca todo, explica Sam Rehman, CISO de EPAM Systems, una empresa global de desarrollo de software. "Esto implica un alcance más amplio, que abarca controles operativos y técnicos, el entorno general, las identidades de los clientes, así como mecanismos para detectar y responder a posibles problemas en el servicio", afirma.

Una forma de pensar en la diferencia es imaginar las aplicaciones como pasteles, dice Christine Gadsby, vicepresidenta de seguridad de productos de BlackBerry. La seguridad de las aplicaciones es similar a examinar un solo pastel para asegurarse de que parezca seguro y libre de contaminantes antes de entregárselo a alguien. Mientras tanto, la seguridad del producto es el proceso de mejorar la forma en que la panadería elabora los pasteles y las herramientas que utiliza para garantizar que cada pastel sea seguro y tenga buen sabor. “La seguridad del producto es más bien un enfoque de 'panorama general': todo el proceso de horneado, de principio a fin, y garantizar que se incorporen las acciones y el proceso correctos en cada paso para garantizar que el pastel tenga exactamente la composición correcta, cumpla con los requisitos delicados y delicados de sus clientes. puede ser un paladar sensible y permanece "fresco" durante toda su vida”, afirma. "Como organización, un equipo de seguridad de productos debe considerar la seguridad de una lista completa de productos o sistemas y qué los usan los clientes, lo que puede incluir varios 'ingredientes' o varios pasteles".

El hecho de que la seguridad del producto se haya abierto camino en los organigramas empresariales no es un repudio a las pruebas de seguridad de aplicaciones tradicionales, sino simplemente un reconocimiento de que la entrega de software moderna necesita un par de ojos diferentes más allá de los entrenados en el microscopio de las pruebas de Appsec. A medida que los líderes tecnológicos han reconocido que las aplicaciones no funcionan en el vacío, la seguridad del producto se ha convertido en el equipo al que acudir para ayudar a vigilar las brechas entre aplicaciones individuales. Los miembros de este equipo también actúan como defensores de la seguridad y pueden ayudar a inculcar los fundamentos de seguridad en los procesos de desarrollo repetibles y en la "fábrica de software" que produce todo el código.

El surgimiento de la seguridad del producto es análogo a la incorporación de la ingeniería de confiabilidad del sitio al principio del movimiento DevOps, dice Scott Gerlach, cofundador y CSO de la firma de pruebas de seguridad API StackHawk. “A medida que el software se entregaba más rápidamente, era necesario incorporar la confiabilidad al producto desde el inicio hasta la entrega. Hoy en día, los equipos de seguridad suelen tener interacciones mínimas con el software durante el desarrollo. Los equipos de producto, por otro lado, participan durante todo el ciclo de vida”, afirma. “Incorporar la seguridad a su conjunto de habilidades e integrarla desde el inicio del producto hasta su lanzamiento da como resultado un ciclo de entrega del producto más rápido y seguro. Se trata de acercar la seguridad a los productos desde el principio”.

Al mismo tiempo, la seguridad del producto no suele sustituir a la seguridad de las aplicaciones tradicionales. La seguridad de las aplicaciones sigue desempeñando un papel importante en la protección del software, idealmente dentro de un marco de seguridad de producto bien coordinado. "Es importante tener en cuenta que la seguridad del producto depende de las prácticas de Appsec para limitar y reducir las vulnerabilidades dentro de la aplicación", explica Rehman de EPAM. "Sin abordar las vulnerabilidades a nivel de aplicación, ninguna cantidad de medidas de seguridad adicionales en torno al producto puede garantizar un alto nivel".

La seguridad del producto juega un papel fundamental en la implementación de los principios de seguridad por diseño. Está involucrado integralmente durante la fase de diseño de un producto o servicio, según Rehman. "Esta participación se extiende a la definición de políticas y controles de producto sólidos que están intrincadamente entrelazados en la arquitectura y funcionalidad del producto".

Definir políticas de producto es solo el comienzo, ya que la seguridad del producto es un facilitador práctico para la colaboración entre ingeniería y desarrollo, las partes interesadas del negocio y el liderazgo en seguridad. Las organizaciones utilizan con frecuencia este equipo como agente de cambio para impulsar la siempre esquiva cultura de seguridad por la que tantos gurús de la seguridad del software han abogado durante años.

"Los equipos de seguridad de productos pueden ayudar a crear una cultura consciente de la seguridad en la que todos comprendan y prioricen la seguridad en su trabajo diario al comunicar periódicamente las actualizaciones, los éxitos y los desafíos de seguridad", dice Gadsby. "[Ellos] desarrollan pautas y estándares claros, brindan recursos para educar a los empleados sobre las mejores prácticas y trabajan con equipos de desarrollo para integrar la seguridad en el ciclo de vida del desarrollo de software".

Si bien la seguridad del producto realiza una buena cantidad de trabajo de promoción y políticas, los mejores equipos de seguridad del producto no simplemente imponen gravosos requisitos de seguridad a los demás sin brindarles apoyo. Deberían estar ahí para ayudar a reducir la fricción, afirma Jamie Boote, consultor principal asociado de seguridad de Synopsys Integrity Group.

"Un tipo particular de fricción que puede obstruir la seguridad en una organización es la fricción cognitiva: el esfuerzo mental que se necesita para comprender y resolver un problema de seguridad", explica Boote. "Prodsec puede reducir la fricción cognitiva que experimentan los desarrolladores, arquitectos, ingenieros y otras partes interesadas al brindar capacitación, requisitos claros, soluciones reutilizables y componentes seguros por diseño que los equipos pueden adaptar y usar con un mínimo esfuerzo".

Liderar la carga encabezando la educación y capacitación de todos los que participan en el diseño y codificación de aspectos relevantes del producto es un componente clave en el papel de la seguridad del producto como agentes de cambio de la cultura de seguridad, dice Rehman. “Los profesionales que no se dedican a la seguridad a menudo carecen del instinto inherente para pensar a la defensiva o anticipar las perspectivas de posibles atacantes, un concepto al que me refiero como la mentalidad de “revisar cada rincón”, dice. “Compartir escenarios plausibles, no con la intención de inducir miedo, sino para ilustrar las acciones potenciales de los atacantes, es fundamental para fomentar una cultura de seguridad dentro de la organización. Cuando las personas comprenden los posibles escenarios y los activos en riesgo, es más probable que adopten la mentalidad correcta".

Todos estos deberes y objetivos de seguridad del producto son puramente aspiracionales si una organización no coloca a las personas adecuadas en el equipo de seguridad del producto y no establece una estructura de informes empoderante para que puedan realizar cambios con éxito. Los mejores profesionales de seguridad de productos deben tener una combinación decente de competencia técnica y habilidades sociales que les ayudarán a fomentar la colaboración; Este no es el lugar para esos técnicos estrella del rock a quienes no les gusta hablar con la gente. De manera similar, necesitarán un jefe de seguridad y de los aspectos comerciales y de ingeniería necesarios para entregar un producto rentable. "Para encabezar la seguridad eficaz del producto, es imperativo designar a una persona con una combinación sólida de conocimiento del producto y una profunda experiencia en seguridad", dice Rehman, quien advierte que estarán capacitados para comunicarse de manera efectiva en cuatro áreas clave de partes interesadas: TI, la oficina del CISO, equipos de desarrollo/DevOps y gobernanza, riesgo y cumplimiento.

Las estructuras de presentación de informes variarán mucho según las necesidades y la cultura de la organización. “Algunos equipos de seguridad de producción pueden estar integrados en organizaciones de ingeniería o de productos si sus organizaciones más grandes se construyen en torno a productos. Además, algunos equipos pueden informar al departamento legal o de cumplimiento dependiendo de la exposición regulatoria o legal”, dice Boote. "Pero algunos normalmente seguirán reportando a alguien del CIO/CTO, CISO, vicepresidente o director de seguridad".

Rehman dice que las líneas jerárquicas directas más comunes suelen ser CISO, CTO y CIO. "En los casos en los que la organización de seguridad es técnicamente competente y sólida, mi preferencia se inclina por informar al CISO", afirma. “Alternativamente, informar al CTO, que supervisa las estrategias tecnológicas, también puede proporcionar un lugar eficaz para una función de seguridad del producto. En última instancia, la elección depende de la dinámica y los objetivos específicos de la organización”.

Por su parte, como vicepresidenta de seguridad de producto de BlackBerry, Gadsby reporta directamente al CISO. "Esto garantiza que los esfuerzos de seguridad de los productos estén alineados con nuestra estrategia de seguridad corporativa y que estemos implementando consistentemente medidas de seguridad en todos los productos y servicios".

Independientemente de si la seguridad del producto depende directamente del CISO o simplemente tiene una relación de línea de puntos, todos los expertos coinciden en que los CISO deben establecer la visión estratégica para la seguridad del producto que el equipo ejecuta. “Los CISO dan forma y guían a los equipos de seguridad de productos definiendo la dirección estratégica de las iniciativas de seguridad de productos. Consideran cómo se integrará la seguridad en el ciclo de vida del desarrollo del producto y la alinearán con los objetivos generales de la empresa”, afirma Gadsby. “Los CISO también garantizan que los equipos de seguridad de productos estén formados por profesionales capacitados que puedan abordar algunos de los complejos desafíos asociados con el desarrollo de productos. Hay mucha colaboración con otros departamentos para garantizar que las medidas de seguridad se integren perfectamente y trabajan para establecer políticas, estándares y directrices de seguridad”.