Los consumidores anhelan experiencias digitales fluidas en aplicaciones móviles. Un solicitud carecen de las características de tendencia del mercado, se sienten torpes, funcionan con lentitud y no aseguran su datos impulsará rápidamente a los consumidores a cambiar a una aplicación rival.
Por lo tanto, el argumento comercial a favor de una oferta sólida de aplicaciones móviles es una obviedad. Según eMarketer, los usuarios de aplicaciones móviles pasan aproximadamente cuatro horas en línea al día, con un asombroso 88% de ese tiempo dedicado al uso de aplicaciones en lugar de sitios web. Sin embargo, satisfacer las demandas de los consumidores, mantenerse competitivo en el mercado y seguir el ritmo de los rivales requiere un proceso de desarrollo de aplicaciones rápido y constante. Pero para los desarrolladores, esta carrera es un obstáculo. e implementando seguridad frecuentemente presentan desafíos importantes.
Prioridades incompatibles
La seguridad es una parte necesaria para adquirir y mantener clientes. Sin embargo, a menudo existe incompatibilidad entre desarrolladores y la seguridad cibernética equipos.
Los desarrolladores quieren realizar envíos lo más pronto y con mayor frecuencia posible, pero ven los requisitos de seguridad y los equipos cibernéticos como obstáculos. Para los equipos cibernéticos, su prioridad es mantener seguros a los consumidores y a la empresa. Al mismo tiempo, los clientes son cada vez más conscientes de la ciberseguridad. La propia encuesta sobre expectativas de seguridad móvil de los consumidores del Reino Unido de Appdome reveló que casi seis de cada diez (59%) de los consumidores británicos calificaron la seguridad de las aplicaciones móviles como igual a las nuevas funciones en las aplicaciones de Android e iOS, y una cuarta parte de los encuestados dijo que la seguridad de las aplicaciones móviles es más importante que características. Los consumidores ya no sólo quieren experiencias fluidas utilizando una aplicación móvil moderna, sino que también quieren una aplicación segura.
Esto subraya la necesidad imperiosa de que las empresas resuelvan las prioridades y procesos conflictivos entre los equipos de desarrollo y cibernéticos.
Vicepresidente de productos de seguridad en Appdome.
DevSecOps 2.0: automatización de la protección de aplicaciones móviles y detección de amenazas
La respuesta es Desarrollo, seguridad y operaciones (DevSecOps), un proceso que integra iniciativas de seguridad en cada etapa del desarrollo de software. El proceso actual de lanzamiento de aplicaciones móviles está plagado de conflictos entre los equipos de desarrollo móvil y los equipos cibernéticos. Los equipos de desarrollo han invertido tiempo y recursos en automatizar el proceso de lanzamiento tanto como sea posible. De hecho, están enfocados en aumentar la agilidad y velocidad de sus lanzamientos tanto como sea posible. Por otro lado, los equipos de seguridad cibernética son vistos como obstáculos para este proceso ágil. Especialmente cuando se informan los hallazgos de seguridad en la reunión de lanzamiento. Esto lleva a que los equipos de desarrollo recurran a la administración y soliciten aprobaciones de excepciones de riesgo. Es esencial reconocer que dichas excepciones de riesgo aumentan la probabilidad de posibles ataques o infracciones porque la aplicación no está protegida en producción. Incluso con el compromiso de resolver el problema de seguridad en una versión posterior, esto abre una ventana para los piratas informáticos. Pero con demasiada frecuencia las organizaciones se ven obligadas a publicar aplicaciones con debilidades de seguridad conocidas porque los retrasos pueden resultar en una pérdida significativa de oportunidades de ingresos o simplemente hacer que la aplicación no sea competitiva. Los impactos de un ataque pueden ser extremadamente costosos y devastadores para la empresa o la marca. Mientras los consumidores exigentes buscan velocidad y seguridad, es evidente que es imperativo encontrar una solución para el éxito continuo de la industria de las aplicaciones móviles.
El proceso tradicional de DevSecOps tiene como objetivo incluir pruebas de seguridad automatizadas en el proceso de desarrollo e implementación con la intención de agilizar el proceso de revisión de seguridad mediante el proceso. El problema con este enfoque es que los equipos de desarrollo a menudo no tienen los recursos, las habilidades o el conocimiento para resolver los hallazgos de la canalización y pueden asignar una baja prioridad a la seguridad, ya que la funcionalidad, la apariencia y la facilidad de uso son los principales factores que los impulsan. Además de lo anterior, los análisis automatizados de seguridad y vulnerabilidad son sin duda una adición bienvenida al modelo DevSecOps; sin embargo, es importante recordar que los análisis de seguridad sólo abordan una parte del problema, porque no se pueden utilizar para «arreglar» o «remediar» el problema. problema. Aquí es donde se requiere la automatización de la ciberdefensa sin código. La automatización de la ciberdefensa se puede utilizar para crear protecciones en aplicaciones de Android e iOS para evitar exploits/ataques o remediar amenazas o debilidades de seguridad en la aplicación que se identifican mediante escaneo de seguridad o pruebas de penetración.
Utilizando un enfoque DevSecOps 2.0, los fabricantes de aplicaciones pueden utilizar la automatización de defensa de aplicaciones móviles en el proceso de CI/CD para trasladar la carga y la responsabilidad de brindar las protecciones necesarias del equipo de desarrollo al equipo cibernético. De esta manera, el equipo de ciberseguridad puede utilizar las mismas mejores prácticas de desarrollador para crear, probar, lanzar y monitorear el modelo de protección en las aplicaciones móviles por sí solo, como parte igual e independiente del proceso DevSecOps.
Esto permite a los fabricantes de aplicaciones mantener un proceso de lanzamiento rápido y ágil para sus aplicaciones móviles, al tiempo que garantiza que sus aplicaciones estén completamente protegidas y puedan actualizarse fácilmente para protegerlas contra nuevas amenazas y ataques. Todo sin que el equipo de desarrollo haga ningún trabajo adicional.
DevSecOps tradicional no es la respuesta
Cuando se trata de aplicaciones móviles, el enfoque actual de DevSecOps no funciona. El requisito para el proceso tradicional DevSecOps incluye pruebas de seguridad automatizadas en el proceso de desarrollo e implementación. La idea es que esto simplifique el proceso de revisión de seguridad. Aunque esto acelera el descubrimiento de vulnerabilidades explotables, no ayuda a implementar las protecciones necesarias en la aplicación móvil, lo que lleva a que los equipos cibernéticos y de desarrollo choquen sobre protecciones y excepciones de riesgos.
El modelo tradicional DevSecOps limita la capacidad del equipo cibernético para hacer cumplir las protecciones. Básicamente, todo lo que el equipo puede hacer es revisar, informar y recomendar al equipo de desarrollo las funciones de seguridad que deben agregarse. Por lo tanto, el equipo cibernético depende totalmente de los desarrolladores para realizar actualizaciones, cambios o mejoras.
Para hacer las cosas más complejas, es posible que los desarrolladores no estén completamente familiarizados con las políticas de seguridad de la empresa o con las amenazas cibernéticas específicas. Los desarrolladores pueden sobrestimar las protecciones de seguridad proporcionadas por las tiendas de aplicaciones o los fabricantes de dispositivos.
Afortunadamente, la tecnología innovadora puede resolver este dilema. El uso de una herramienta de automatización de ciberdefensa permite a los equipos de desarrollo implementar todas y cada una de las protecciones requeridas por el equipo de seguridad. Además, les permite abordar las debilidades identificadas mediante análisis de seguridad o pruebas de penetración, sin ningún esfuerzo manual ni impacto en los cronogramas de lanzamiento o los flujos de trabajo.
Automatización de defensa al rescate
La automatización de la defensa de aplicaciones móviles permite a los equipos de seguridad cibernética tener más control sobre el modelo de seguridad para aplicaciones móviles, sin requerir que recursos que no controlan (es decir, desarrolladores móviles) realicen un trabajo significativo. La automatización de defensa de aplicaciones móviles permite a los equipos de desarrollo y ciberseguridad trabajar en colaboración aprovechando el proceso de integración continua y entrega continua (CI/CD), utilizando la automatización para eliminar por completo la carga de implementación del equipo de desarrollo. Al utilizar la automatización de la ciberdefensa, los equipos de ciberseguridad pueden crear, probar, lanzar y monitorear el modelo de seguridad de la aplicación móvil por su cuenta o permitir que el equipo de desarrollo implemente el modelo de seguridad que prescriban, todo desde dentro de los flujos de trabajo automatizados que los desarrolladores ya utilizan para construir. y ofrecer aplicaciones móviles hoy. Este enfoque garantiza que la evaluación de seguridad de la aplicación funcione como un componente integral fuera del ciclo de vida de desarrollo de software convencional.
Al implementar la automatización de la ciberdefensa de esta manera, el equipo cibernético toma el control directo dentro del proceso de CI/CD, aliviando al equipo de desarrollo de cualquier carga de trabajo adicional o de la necesidad de navegar por las complejidades de los requisitos de ciberseguridad. En consecuencia, el proceso funciona sin problemas, automatizando el proceso de desarrollo de aplicaciones móviles, con seguridad integrada, antifraude y otras medidas de protección. Este enfoque permite que tanto los equipos de desarrollo como los de ciberseguridad satisfagan eficazmente las demandas de los consumidores y cumplan con sus respectivas responsabilidades. Nadie necesita hacer los dolorosos compromisos que afectan a las soluciones de seguridad de aplicaciones móviles tradicionales.
Para un equipo de desarrollo o cibernético, esta es una excelente posición. Elimina una acumulación de hallazgos de seguridad y acelera la publicación de nuevas protecciones que surgen de nuevas pruebas o revisiones, eliminando así tensiones nuevas y antiguas entre las organizaciones.
Cambiador de juego
Una de las disputas naturales de la vida es entre las personas que construyen cosas y las personas que las protegen, pero la automatización de la ciberdefensa para aplicaciones móviles es un punto de inflexión revolucionario. Durante demasiado tiempo, las empresas han estado utilizando un enfoque tradicional de DevSecOps, lo que ha contribuido a una fricción significativa.
Para mantenerse alineadas con las expectativas de los consumidores y el mercado dinámico, las organizaciones modernas con ofertas de aplicaciones móviles deben eliminar esta importante fuente de tensión. Sin embargo, antes de lograrlo, es esencial que haya operaciones internas fluidas. Con la adopción de un enfoque automatizado innovador para implementar funciones de seguridad, colaboración reemplaza las disputas, lo que permite al equipo de desarrollo concentrarse en sus fortalezas principales sin la necesidad de superar obstáculos.
Hemos presentado el mejor software de cifrado.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde presentamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarPro o Future plc. Si estás interesado en contribuir, descubre más aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro