El software moderno ha transformado por completo la forma en que las organizaciones operan y compiten en el mercado. Con la creciente demanda de software seguro y confiable entregado a escala, la presión para cumplir con los plazos de comercialización nunca ha sido mayor. Para gestionar el riesgo del software y también aumentar la velocidad y la agilidad del desarrollo, las organizaciones están implementando cada vez más herramientas de seguridad que prometen enfrentar estos desafíos de frente.
Pero esto es tener la opuesto de su efecto deseado; La proliferación de herramientas de seguridad ha resultado en una complejidad que ha ralentizado a los equipos de desarrollo, disminuido la postura general de riesgo y aumentado los costos operativos para implementar, mantener y respaldar la pila de tecnología de seguridad de software. Esta proliferación de herramientas y la complejidad que fomenta no es un problema nuevo, pero el clima económico actual ha añadido presión sobre las organizaciones para resolver estos problemas. ahora mediante la consolidación.
El verdadero coste de la proliferación de herramientas
En la mayoría de los casos, la carga de proporcionar recursos y mantener herramientas duplicadas está costando muy caro a las organizaciones. Y este problema está muy extendido; a encuesta reciente Encargado por Synopsys, encontró que el 70% de las organizaciones encuestadas tenían más de 10 herramientas de prueba de seguridad de aplicaciones (AST) dentro de su programa de seguridad.
¿Y cómo es exactamente este costo? El problema es triple. En primer lugar, las organizaciones se ven obligadas a lidiar con capacidades superpuestas y hallazgos superpuestos, lo que requiere tiempo, recursos y esfuerzo adicionales para sortear el “ruido”. Además, las organizaciones están gastando innecesariamente en costosos “recursos humanos” para ejecutar y respaldar este excedente de herramientas. Y quizás lo más problemático es que se necesita más tiempo para lograr resultados. El objetivo mismo de un programa de seguridad (eliminar vulnerabilidades y debilidades) lleva demasiado tiempo y ofrece una visión incompleta del conocimiento del riesgo debido a datos aislados y superpuestos.
Un programa de seguridad exitoso debería proporcionar respuestas a preguntas como: ¿Dónde está todo mi software? ¿Qué tan seguro es? ¿Estamos mejorando nuestros esfuerzos de seguridad? ¿Estamos dedicando nuestro tiempo y recursos a las áreas correctas? Un programa de seguridad que no puede responder a estas preguntas requiere un análisis más profundo.
Desenredar el desorden: un enfoque programático para la seguridad
Entonces, ¿cuál es la solución para desenredar esta red de ruido de seguridad? Que se encuentra en medición lo que manejas.
A menudo, vemos organizaciones recopilando una gran cantidad de datos y desarrollando políticas sin el contexto adecuado de cómo van a medir el éxito. Esto da como resultado aún más ruido. Comprender cómo medirá el éxito debe ser la base de cualquier programa exitoso.
Las métricas de éxito establecidas deberían ayudar a impulsar las políticas, y no al revés, como suele ser el caso. Un organización debe identificar un pequeño número de significativo métricas y luego orientar sus políticas en torno a ellas. Estas métricas variarán según la organización (podrían ser la densidad de vulnerabilidades, el tiempo de clasificación y el tiempo de remediación), pero en última instancia deben estar alineadas con lo que tiene sentido para el negocio y sus objetivos.
En el mercado actual, vemos a muchas organizaciones elaborar una serie de políticas, realizar análisis excesivos y luego enfrentarse a una montaña de datos no normalizados provenientes de muchas fuentes diferentes. Luego buscan métricas significativas para determinar si están haciendo algo bueno o no. Puede resultar casi imposible interpretar estos datos como un cálculo exitoso o del retorno de la inversión.
De nuevo, por a partir de con una vista de KPI o métrica y entonces Al alinear todas las políticas y tecnologías en torno a las métricas priorizadas, una organización tiene una probabilidad mucho mayor de crear un programa de seguridad que sea mensurable y, lo más importante, mejorable., con el tiempo.
Una visión centralizada del riesgo es fundamental
Sin información y alineación con una evaluación de riesgos subyacente de su software, tiene un objetivo en constante movimiento. Los diferentes sectores de un programa AppSec operarán con diferentes puntos de vista del riesgo, lo que resultará en una dilución de la información general sobre el riesgo. Los datos centralizados son fundamentales, especialmente a escala.
Pero, ¿cómo puede una organización lograr una visión centralizada del riesgo? Comienza con una comprensión profunda de su inventario. Los equipos de seguridad deben obtener una visión integral de los activos y aplicaciones de software existentes y comprender cuáles son realmente asunto.
Después de recopilar este inventario, una organización debe realizar una clasificación de riesgos significativa, que sentará las bases para todos los esfuerzos de seguridad posteriores. Cuando se clasifican los activos, es fácil para una organización determinar cuánto esfuerzo se debe aplicar a las piezas individuales de software. Este esfuerzo de agregar y normalizar datos debe tener en cuenta el contexto; por ejemplo, ¿qué aplicaciones están detrás de un firewall y, por lo tanto, no son explotables? ¿Cuáles son los más vulnerables a los ataques?
Más allá del esfuerzo más sencillo de consolidar con menos proveedores o con una sola plataforma, otra forma poderosa de mitigar el caos causado por la dispersión de herramientas es alinear o normalizar todos los datos de seguridad en el contexto de sus métricas de éxito definidas. Con una vista consolidada de estas métricas de éxito, puede evaluar cómo está ejecutando realmente su programa y puede recopilar el contexto necesario para reducir el ruido y, en última instancia, llegar a una vista priorizada de los problemas que deben solucionarse primero. Esta visión cohesiva y basada en el contexto permite una verdadera gestión de un programa a escala.
En pocas palabras, un programa de seguridad ejecutado desde una única fuente de verdad es posible cuando su programa de seguridad toma decisiones comerciales basadas en métricas que realmente importan y tiene datos de herramientas y fuentes dispares consolidadas en un solo lugar.
Para más información sobre cómo Synopsys puede ayudarle a generar velocidad a escala empresarial, visite www.synopsys.com/software.