Antes de hablar sobre seguridad, me gustaría mencionar el cómo las empresas trabajaban antes, normalmente existe el área de desarrollo, operaciones y el área de seguridad y siempre se integraba el término de seguridad hasta el final, y eso sí se contemplaba.
Pero ahora las empresas han evolucionado, existe la adopción de metodologías ágiles y la automatización de los despliegues continuos en cualquier proyecto TIC, dando pie al surgimiento de una nueva filosofía de trabajo, mejor conocida como DevSecOps.
Este nuevo modelo implica trabajo codo con codo del equipo de seguridad con el resto de la organización y que ahora no sea visto como un tema commodity, sino la seguridad como un tema vital en las organizaciones, donde no solo el área de sistemas o TI está inmerso, todos los empleados e inclusive mayoristas, proveedores, clientes, etc., están vulnerables a un ciberataque, por lo tanto, es primordial conocer y hablar de ciberseguridad en el día a día.
El principal reto es la automatización de procesos y herramientas, ya que la seguridad debe de ser vista como un facilitador y no como un cuello de botella en el desarrollo de aplicaciones.
Por lo anterior es responsabilidad del área de seguridad seleccionar plataformas que permitan integrar la seguridad de manera permanente y que exista un monitoreo constante ante cualquier detección de vulnerabilidad.
Gartner informa que el año pasado más del 70% de las iniciativas DevSecOps incorporaron de forma automatizada el proceso de gestión de vulnerabilidades de seguridad y escaneo de la configuración para componentes de código abierto y paquetes comerciales.
Las empresas necesitan en primera instancia adoptar metodologías de trabajo ágiles, requieren que sus equipos de tecnología, desarrollo, seguridad y operaciones se integren y que el concepto de seguridad informática y DevSecOps sea considerado desde el CEO hasta el último nivel, ya que los usuarios finales son los más vulnerables a un ciberataque.
Así como también se requiere que en las empresas sin importar su tamaño e industria consideren una estrategia de ciberseguridad. Y sobre todo que el área de seguridad, no se confíen en realizar únicamente escáneres e informes para mejorar los códigos si no que implementen herramientas, soluciones y servicios que ayuden a defender lo que se ha creado. También se requiere de acciones correctivas en lugar de largas listas de problemas o solo estar parchando vulnerabilidades.
Pero sobre todo las empresas requieren un equipo de trabajo comprometido y si es posible que se integren a su equipo personas con skills full stacks, que sepan de desarrollo, seguridad y operación. Pero si en dado caso tu empresa aún no cuenta con los recursos para solventar un área de seguridad como se requiere, siempre hay consultoras en ciberseguridad que te ofrecen Servicios Administrados donde puedes mantener a tu empresa y a su información salvaguardada y al alcance de tus posibilidades.