TecNoticias, tu portal de información

Los equipos de seguridad y desarrollo de TI están divididos sobre quién es y quién debería ser responsable de proteger el software, un nuevo reporte de la empresa de ciberseguridad Venafi ha mostrado.

Cuando se les preguntó quién es responsable de la seguridad del software en sus organizaciones, la muestra de 1,000 profesionales de DevOps y Sec se dividió por igual, con un 48% que dijo que el desarrollo lo era y un 48% que la seguridad de TI lo fue.

Más preocupante es la división sobre quién debería ser responsable de la seguridad del software. Solo el 58% de la seguridad de TI sintió que su equipo debería fortalecer las canalizaciones de construcción en comparación con el 53% del desarrollo que cree que debería hacerlo.

Esta falta de responsabilidad parece preocupante, pero el vicepresidente de estrategia de seguridad de Venafi, Kevin Bocek, lo explicó así: ““ Los roles tradicionales no están claros sobre quién es responsable de asegurar las canalizaciones de software: los ingenieros crean código, mientras que los equipos de seguridad protegen el negocio. Pero, ¿quién protege a los desarrolladores de software y quién puede entender cómo proteger el código que escriben los desarrolladores? Por eso vemos que los equipos de desarrollo contratan ingenieros de seguridad y los equipos de seguridad contratan programadores ".

Esta falta de alineación sobre quién debería ser responsable se extendió también al liderazgo ejecutivo, con un 48% a favor de la seguridad de TI, un 39% a favor del desarrollo y un 12% que cree que ambos comparten la responsabilidad.

“La mayoría de los encuestados son fundamentalmente ambivalentes acerca de su capacidad para defenderse de los ataques al desarrollo de software, y esto es una clara indicación de que los equipos de liderazgo deben establecer prioridades y estrategias claras para esta área crítica de seguridad”, agregó Bocek.

Teniendo en cuenta que solo el 20% de los encuestados estaba "completamente seguro" de la capacidad de su organización para defenderse de un ataque de ciberseguridad, el punto de Bocek sobre el establecimiento de prioridades suena especialmente cierto.

Venafi concluyó que para mejorar con éxito la seguridad del software, los equipos de ingeniería, que abarcan la ingeniería de desarrollo de productos, la ingeniería de infraestructura y la ingeniería de seguridad de productos, así como el desarrollo de aplicaciones, deben tomar la iniciativa. El informe afirma que "solo la ingeniería tiene la visibilidad y el alcance del control para efectuar los cambios necesarios".

Sin embargo, estos equipos necesitarán la orientación y la experiencia que InfoSec puede proporcionar para garantizar que los controles de seguridad sean efectivos y que se cumplan las políticas corporativas.

¿Quiere aprender sobre DevOps de parte de los líderes en el espacio? Consulte la Cumbre DevOps-as-a-Service, que tendrá lugar el 7 de octubre de 2022, donde los asistentes conocerán los beneficios de crear colaboración y asociaciones en la entrega.
Etiquetas: desarrollo, devops, seguridad informática, seguridad, solarwinds, sunburst, Venafi