Cómo los CISO pueden pasar de la seguridad de las aplicaciones a la seguridad de los productos

Ya se llame seguridad shift-left, seguridad integrada o seguridad por diseño, las empresas con visión de futuro entienden hoy que deben tener en cuenta la seguridad a lo largo de todo el ciclo de vida, no sólo de las aplicaciones individuales, sino del producto empresarial al que dan soporte. Para ello, un número cada vez mayor de empresas recurre a equipos y responsables de seguridad de productos como medio para llevar a cabo este cambio. 

La seguridad de los productos amplía el alcance de la seguridad tradicional de las aplicaciones mucho más allá de las pruebas y se adentra en los ámbitos de la promoción, la colaboración entre grupos empresariales, el pensamiento de diseño, el modelado de amenazas, la planificación arquitectónica y la verdadera gestión de riesgos. "Al participar activamente en cada fase del proceso de desarrollo, el equipo de seguridad del producto ayuda a integrar las consideraciones de seguridad en el diseño, la arquitectura, la codificación, las pruebas y la puesta en producción del software", afirma Chris Roeckl, director de producto de Appdome. "Este enfoque proactivo es un círculo virtuoso y minimiza el riesgo de vulnerabilidades y garantiza que la seguridad sea un aspecto integral del producto final". 

Cuando se hace bien, la seguridad de los productos se convierte en una palanca importante para hacer realidad las promesas hechas por los defensores de DevSecOps desde hace años. 

En qué se diferencian la seguridad de las aplicaciones y la seguridad de los productos 

Aunque la seguridad de las aplicaciones y la seguridad de los productos comparten un mismo propósito -ayudar a una organización a lanzar y mantener un software seguro-, el papel que cada función desempeña en la consecución de este objetivo es diferente. "La seguridad de las aplicaciones se centra en las pruebas, la validación y la cadena de herramientas, mientras que la seguridad de los productos abarca las normas empresariales de todo el proceso de desarrollo de software, incluida la parte humana del desarrollo de software", explica Michele Chubirka, defensora de la seguridad en la nube de Google. 

Además, mientras que el equipo de seguridad de las aplicaciones profundiza en cada una de las aplicaciones que debe reforzar, la seguridad de los productos tiene una visión global, de principio a fin, de la seguridad de toda la pila que ayuda a crear un producto determinado. "La seguridad de los productos es una extensión de la seguridad de las aplicaciones. La seguridad de las aplicaciones se centra en proteger el código y la funcionalidad de una única aplicación de software", afirma David Lindner, CISO de Contrast Security. "La seguridad del producto adopta una visión holística de todo el producto tecnológico, considerando el entorno más amplio y los posibles vectores de ataque que pueden surgir de las comunicaciones entre varios componentes". 

Este entorno más amplio podría incluir numerosas aplicaciones a la vez, componentes de hardware y servicios asociados. La seguridad del producto tiene en cuenta su postura de seguridad a medida que se despliegan juntos. 

Para algunas empresas, la seguridad de los productos puede centrarse únicamente en los clientes externos, mientras que otras consideran que incluso los proyectos internos, como los sistemas financieros o de recursos humanos, forman parte de la seguridad de los productos. En cualquier caso, la perspectiva de la seguridad de los productos es más amplia, explica Sam Rehman, CISO de EPAM Systems, una empresa de desarrollo de software global. "Esto implica un ámbito más amplio, que abarca los controles operativos y técnicos, el entorno general, las identidades de los clientes, así como los mecanismos para detectar y responder a posibles problemas en el servicio", afirma. 

Una forma de ver la diferencia es imaginar las aplicaciones como pasteles, dice Christine Gadsby, vicepresidenta de seguridad de productos de BlackBerry. La seguridad de las aplicaciones es similar a examinar un pastel para asegurarse de que parece seguro y no tiene contaminantes antes de servírselo a alguien. Mientras tanto, la seguridad de los productos es el proceso de mejorar la forma en que la pastelería elabora los pasteles y las herramientas que utiliza para garantizar que cada pastel sea seguro y tenga buen sabor. “La seguridad de los productos es más bien un planteamiento global: todo el proceso de horneado, de principio a fin, y asegurarse de que en cada paso se toman las medidas y se aplican los procesos adecuados para garantizar que el pastel tiene exactamente la composición correcta, satisface la delicada y tal vez sensible paleta de los clientes y se mantiene ‘fresco’ durante toda su vida útil", afirma. "Como organización, un equipo de seguridad de productos debe considerar la seguridad de toda una lista de productos o sistemas y qué clientes los utilizan, lo que puede incluir varios 'ingredientes' o varios pasteles". 

Por qué la seguridad de los productos está ganando adeptos 

El hecho de que la seguridad de los productos se haya abierto camino en los organigramas de las empresas no es un repudio de las pruebas tradicionales de seguridad de las aplicaciones, sino un reconocimiento de que la entrega moderna de software necesita un conjunto diferente de ojos, más allá de los entrenados en el microscopio de las pruebas de seguridad de las aplicaciones. A medida que los líderes tecnológicos han reconocido que las aplicaciones no funcionan en el vacío, la seguridad del producto se ha convertido en el equipo de referencia para ayudar a vigilar las brechas entre las aplicaciones individuales. Los miembros de este equipo también actúan como defensores de la seguridad que pueden ayudar a inculcar los fundamentos de la seguridad en los procesos de desarrollo repetibles y en la "fábrica de software" que produce todo el código. 

La aparición de la seguridad de los productos es análoga a la adición de la ingeniería de fiabilidad de sitios al principio del movimiento DevOps, afirma Scott Gerlach, cofundador y CSO de la empresa de pruebas de seguridad de API StackHawk. "A medida que el software se entregaba con mayor rapidez, la fiabilidad debía incorporarse al producto desde el principio hasta la entrega. Hoy en día, los equipos de seguridad suelen tener interacciones mínimas con el software durante el desarrollo. En cambio, los equipos de producto intervienen a lo largo de todo el ciclo de vida", afirma. "Incorporar la seguridad a su conjunto de competencias e integrarla desde el inicio del producto hasta su lanzamiento da como resultado un ciclo de entrega del producto más rápido y seguro. Se trata de acercar la seguridad a los productos desde el principio". 

Al mismo tiempo, la seguridad de los productos no suele suplantar a la seguridad tradicional de las aplicaciones. La seguridad de las aplicaciones sigue desempeñando un papel importante en la protección del software, idealmente dentro de un marco de seguridad de productos bien coordinado. "Es importante señalar que la seguridad de los productos se basa en las prácticas de seguridad de las aplicaciones para limitar y reducir las vulnerabilidades dentro de la aplicación", explica Rehman, de EPAM. "Sin abordar las vulnerabilidades a nivel de aplicación, ninguna cantidad de medidas de seguridad adicionales en torno al producto puede garantizar un alto nivel". 

Los equipos de seguridad de producto pueden fomentar la cultura de la seguridad 

La seguridad del producto desempeña un papel fundamental en la aplicación de los principios de seguridad por diseño. Según Rehman, interviene de forma integral durante la fase de diseño de un producto o servicio. "Esta implicación se extiende a la definición de políticas y controles de producto sólidos que se entretejen intrincadamente en la arquitectura y funcionalidad del producto". 

Definir las políticas de producto es sólo el principio, ya que la seguridad del producto es el facilitador práctico de la colaboración entre ingeniería y desarrollo, las partes interesadas de la empresa y la dirección de seguridad. Las organizaciones suelen utilizar este equipo como agente de cambio para impulsar la siempre esquiva cultura de la seguridad por la que tantos gurús de la seguridad del software han abogado durante años. 

"Los equipos de seguridad de producto pueden ayudar a crear una cultura consciente de la seguridad en la que todo el mundo entienda y dé prioridad a la seguridad en su trabajo diario comunicando regularmente las actualizaciones de seguridad, los éxitos y los retos", dice Gadsby. "[Desarrollan] directrices y normas claras, proporcionan recursos para educar a los empleados sobre las mejores prácticas y trabajan con los equipos de desarrollo para integrar la seguridad en el ciclo de vida de desarrollo de software". 

Aunque la seguridad de los productos realiza una buena cantidad de trabajo de promoción y política, los mejores equipos de seguridad de productos no se limitan a cargar sobre los hombros de los demás los pesados requisitos de seguridad sin apoyarlos. Deben estar ahí para ayudar a reducir las fricciones, afirma Jamie Boote, consultor principal asociado de Seguridad de Synopsys Integrity Group. 

"Un tipo concreto de fricción que puede obstaculizar la seguridad en una organización es la fricción cognitiva: el esfuerzo mental que supone comprender y resolver un problema de seguridad", explica Boote. "Prodsec puede reducir la fricción cognitiva que experimentan los desarrolladores, arquitectos, ingenieros y otras partes interesadas proporcionando formación, requisitos claros, soluciones reutilizables y componentes seguros por diseño que los equipos pueden adaptar y utilizar con el mínimo esfuerzo". 

Liderar el cambio dirigiendo la educación y la formación de todos los que participan en el diseño y la codificación de los aspectos relevantes del producto es un componente clave en el papel de la seguridad del producto como agentes del cambio en la cultura de la seguridad, afirma Rehman. "Los profesionales que no se dedican a la seguridad carecen a menudo del instinto inherente para pensar a la defensiva o anticiparse a las posibles perspectivas de los atacantes, un concepto al que yo me refiero como la mentalidad de ‘revisar cada esquina’", afirma. "Compartir escenarios plausibles, no con la intención de inducir miedo, sino para ilustrar las posibles acciones de los atacantes es fundamental para fomentar una cultura de la seguridad dentro de la organización. Cuando las personas comprenden los posibles escenarios y los activos en peligro, es más probable que adopten la mentalidad correcta". 

¿Quién se encarga de la seguridad de los productos? 

Todos estos deberes y objetivos de la seguridad de los productos son meras aspiraciones si una organización no coloca a las personas adecuadas en el equipo de seguridad de los productos y establece una estructura de informes que les permita influir con éxito en el cambio. Los mejores profesionales de la seguridad de productos deben tener una buena combinación de conocimientos técnicos y aptitudes interpersonales que les ayuden a fomentar la colaboración. Del mismo modo, necesitarán una cabeza para la seguridad y para los aspectos empresariales y de ingeniería de la entrega de un producto rentable. "Para encabezar la seguridad eficaz de un producto, es imprescindible nombrar a una persona con una sólida combinación de conocimientos sobre el producto y una profunda experiencia en seguridad", afirma Rehman, quien aconseja que se le capacite para comunicarse eficazmente con las cuatro partes interesadas clave: TI, la oficina del CISO, los equipos de desarrollo/DevOps, y gobernanza, riesgo y cumplimiento. 

Las estructuras de información variarán mucho según las necesidades y la cultura de la organización. "Algunos equipos de prodsec pueden estar integrados en las organizaciones de ingeniería o producto si sus organizaciones más grandes se basan en productos. Además, algunos equipos pueden depender del departamento jurídico o de cumplimiento de normativas, en función de la exposición normativa o legal", afirma Boote. "Pero algunos normalmente seguirán informando a alguien del CIO/CTO, CISO, o vicepresidente o director de seguridad". 

Rehman dice que las líneas de reporte directo más comunes suelen ser CISO, CTO y CIO. "En los casos en los que la organización de seguridad es técnicamente experta y sólida, mi preferencia se inclina por informar al CISO", afirma. "Alternativamente, depender del director de tecnología, que supervisa las estrategias tecnológicas, también puede ser un buen lugar para una función de seguridad de producto. En última instancia, la elección depende de la dinámica y los objetivos específicos de la organización". 

Por su parte, como vicepresidenta de seguridad de producto de BlackBerry, Gadsby depende directamente del CISO. "Esto garantiza que los esfuerzos de seguridad de los productos estén alineados con nuestra estrategia de seguridad corporativa y que estemos implementando medidas de seguridad de forma coherente en todos los productos y servicios". 

Independientemente de si la seguridad del producto depende directamente del CISO o sólo tiene una relación de línea de puntos, todos los expertos coinciden en que los CISO deben establecer la visión estratégica para la seguridad del producto que el equipo ejecuta. "Los CISO dan forma y guían a los equipos de seguridad de productos definiendo la dirección estratégica de las iniciativas de seguridad de productos. Consideran cómo se integrará la seguridad en el ciclo de vida de desarrollo del producto y la alinean con los objetivos generales de la empresa", afirma Gadsby. "Los CISO también se aseguran de que los equipos de seguridad de productos estén formados por profesionales cualificados que puedan abordar algunos de los complejos retos asociados al desarrollo de productos. Hay mucha colaboración con otros departamentos para garantizar que las medidas de seguridad se integran a la perfección, y trabajan para establecer políticas, normas y directrices de seguridad"