Algunos desarrolladores disfrutan creando código ingenioso, otros utilizan bases de código extrañas o servicios externos no autorizados, todo lo cual genera un conflicto continuo con los equipos de ciberseguridad que intentan proteger el negocio y a los usuarios. A continuación, le mostramos cómo ambos pueden coexistir en relativa paz con un buen equilibrio entre funcionalidades y seguridad.

Independientemente de si los desarrolladores están creando una aplicación para Windows o Linux, una aplicación móvil, un servicio en la nube, un chatbot, una utilidad de Docker o una aplicación web progresiva, a menudo se asumen grandes riesgos, a veces sin saberlo.

Los equipos de ciberseguridad saben que basta una sola debilidad en la aplicación o en cualquier servicio que esta toque para que el negocio o sus clientes sean vulnerables a los hackers y a su ejército de herramientas automatizadas.

Los riesgos entran en juego independientemente de la trayectoria del equipo de codificación. Desde desarrolladores estrella hasta recién graduados universitarios, pasar por alto una referencia de puerto, ignorar una regla interna o tomar prestado un fragmento de código dudoso que resuelve un problema puede causar estragos en el negocio.

Seamos amigos de la codificación

Ambas partes de la ecuación están bajo presión: los líderes empresariales quieren que sus programadores produzcan aplicaciones y herramientas para usar o vender de inmediato. Al mismo tiempo, los equipos de ciberseguridad tienen la tarea de ser lo más invisibles y fluidos posible, mientras protegen a todos de los ejércitos de la oscuridad más allá del firewall.

La clave del éxito es la claridad del mensaje y un plan bien definido para cada proyecto. La seguridad debe ser una parte igual de importante en la lista de verificación de calidad por la que pasa cualquier proyecto. Muchas empresas de desarrollo de software están adoptando el modelo DevOps, donde hitos modulares y basados en objetivos marcan el ciclo de vida del proyecto.

Junto con el desarrollo ágil, ayudan a mover los proyectos rápidamente, pero dentro de un proceso estructuralmente definido para la calidad, el cumplimiento de objetivos y la gestión de funcionalidades. Si se añade la seguridad a esa lista, una empresa puede proceder a desarrollar aplicaciones que cumplan todos los requisitos de seguridad de la compañía, probadas en cuanto a integridad y que satisfagan cualquier estándar industrial o gubernamental.

Para lograr esto, tanto los responsables de seguridad como los equipos de desarrollo deben estar en sintonía, destacando el mensaje de la seguridad como calidad. Al incorporar controles de seguridad, validación de código y capacitar a todos los desarrolladores en los aspectos de las vulnerabilidades, junto con revisiones periódicas a lo largo de la finalización, se garantiza un resultado seguro para la aplicación.

Toda empresa necesita un maestro de seguridad

Un rol cada vez más común en las grandes empresas es el de director de seguridad digital/de la información (o similar). En cualquier negocio más pequeño, alguien debidamente cualificado debe asumir ese rol y ser responsable de la elaboración de informes, la catalogación y la gestión de soluciones, riesgos y fallos de seguridad.

Esa persona es un punto focal ideal para alinear a los equipos de desarrollo con las necesidades de seguridad del negocio. Esta persona puede ser parte del equipo de desarrollo y, con la responsabilidad de cualquier problema futuro, es más probable que supervise los esfuerzos del equipo. Para ayudar a construir un vínculo sólido entre ambos, al lanzar un proyecto de desarrollo, los equipos deben seguir las reglas básicas establecidas por el equipo de seguridad.

Las reglas del camino de la codificación

Las lecciones o jornadas de formación que destaquen la necesidad de la seguridad, lo que ocurre cuando se ignora, y que señalen los fallos principales y menores en las técnicas de codificación que conducen a los ataques, ayudarán a alertar a los desarrolladores sobre los riesgos y a destacar los problemas.

Las recompensas por código y las bonificaciones pueden ayudar a animar a los desarrolladores a detectar fallos en la base de código del proyecto, y cualquier empresa debería ofrecer formación a nivel de toda la compañía para detectar ataques, fallos y otras formas en que los hackers podrían acceder al código nativo.

Estas directrices, junto con reglas estrictas sobre el código «prestado», el uso de servicios externos y otros puntos débiles probables, harán que cualquier negocio desarrolle aplicaciones más fuertes y seguras.