Involucre a los equipos de seguridad en el desarrollo
NOTA: Aún no se completó la actualización de la versión en español a v2, sugerimos usar la versión en Inglés por ahora.
Involucra a los equipos de seguridad desde temprano en el proceso de desarrollo
Los equipos de seguridad deben trabajar conjuntamente con los equipos de desarrollo, para que las aplicaciones sean construidas con la seguridad en mente desde el primer día y no agregada de último momento.
Si los equipos de seguridad un minuto antes de la salida a producción vienen a criticar a los desarrolladores, no se genera una relación constructiva. Es un quick win que las áreas se relacionen de manera temprana, planificando la protección necesaria para cada aplicación desde el momento inicial, o al menos desde el primer prototipo.
En fases posteriores se encuentran otras recomendaciones relacionadas a esta:
Mitigación de riesgos
- Las vulnerabilidades de seguridad de las aplicaciones que llegan a producción suelen estar relacionadas con la falta de tiempo para solucionarlas; debido a la participación tardía de los equipos de seguridad, las vulnerabilidades de las aplicaciones suelen quedar expuestas al público, ya que los puertos web suelen estar abiertos para servir a las aplicaciones web, lo que se convierte en un punto de entrada para los adversarios.
Guía para evaluar su grado de alineación
- ¿Cómo está trabajando su equipo de seguridad con los equipos de desarrollo? ¿Proactivo? ¿Reactivo?
- ¿Las decisiones de arquitectura se deciden con alguien del equipo de seguridad en la fase de diseño de su aplicación?
- ¿El equipo de seguridad proporciona orientación temprana sobre las mejores prácticas de seguridad al equipo de desarrollo?
- ¿El equipo de seguridad participa desde el principio en las revisiones de seguridad de las aplicaciones?
- ¿Qué tan cerca de la fecha de lanzamiento está involucrado el equipo de seguridad?
- ¿El equipo de seguridad es fácilmente accesible para que los desarrolladores respondan sus dudas?