Cómo los desarrolladores pueden estar en la primera línea de la ciberseguridad

¿Cómo lo logran? En un episodio reciente del Dynamic Developer de Newsmatic, me entrevisté con Guy Podjarny, fundador y presidente de Snyk, y Willie Tejada, gerente general de ISV y Build Partners y defensor principal de los desarrolladores de IBM, sobre este tema. Podjarny y Tejada compartieron sus ideas sobre el panorama actual de amenazas cibernéticas, la importancia de las asociaciones como la de IBM y Snyk para combatir las ciberamenazas, y el papel crítico que desempeñan los desarrolladores y el código abierto.

La siguiente es una transcripción de la entrevista, editada para mayor claridad.

Escucha este podcast en Soundcloud

Índice de Contenido
  1. El panorama de amenazas de ciberseguridad ha evolucionado de formas importantes
  2. ¿Cómo convencer a los desarrolladores de construir seguridad en sus aplicaciones desde el principio?
  3. ¿Cómo deben configurarse los equipos de desarrollo para construir software seguro?

El panorama de amenazas de ciberseguridad ha evolucionado de formas importantes

Bill Detwiler: Muy bien. Bueno, vamos directo al grano. Sabemos lo importante que es la ciberseguridad, no solo para las empresas, sino también para los Estados Unidos como nación. Ha estado en las noticias mucho en los últimos años, no como si no lo estuviera siempre. Como un viejo tipo de TI, estábamos hablando de esto hace 20, 30 años. Entonces, empecemos por analizar el panorama actual de amenazas que enfrentamos hoy, la importancia de la ciberseguridad y por qué las asociaciones son tan importantes para abordar esas amenazas. Así que Willie, tal vez empiece contigo.

Cómo los desarrolladores pueden estar en la primera línea de la ciberseguridad - Desarrollo | Imagen 1 Newsmatic

Willy Tejada: Bill, es oportuno considerando todo lo que realmente tenemos en marcha, y estoy seguro de que hablaremos un poco más al respecto. Sin embargo, solo para darte una idea del tamaño y alcance, el negocio de seguridad de IBM probablemente ve 150 mil millones de eventos que podrían ser candidatos para algún tipo de cibercompromiso. Y eso es en alrededor de 17,500 organizaciones. Lo interesante de hacia dónde se dirige IBM es que la seguridad y lo que realmente hacemos en términos de seguridad es proteger la superficie. Y con superficie, me refiero a todo, desde tu dispositivo móvil hasta tu escritorio y todo lo que está en el medio. Así que, piensa en esa superficie. Lo que experimentamos cuando entramos en la pandemia fue que la superficie se amplió un poco debido a que todos trabajaban de forma remota. Y cuando se combina eso con algo como la estrategia principal de IBM, que es un enfoque de nube híbrida, lo que significa que nuestras empresas trabajan no solo con el software y la nube de IBM, sino también con la nube de AWS, trabajan con la nube de Azure, la superficie se vuelve bastante amplia desde ese punto de vista.

GitLab: La clave para una seguridad total en el desarrollo con DevSecOps

Pero también es importante y una de las razones por las que hemos estado colaborando con Snyk es que también estamos en esta nueva era de la cadena de suministro de software y cómo se construyen las cosas y cómo se utiliza el código abierto como un elemento clave en lo que estamos construyendo. Y creo que requiere una mentalidad centrada en el desarrollador, porque ahí es donde realmente estás trabajando con una nueva forma de desarrollar software en esta era abierta. Y Snyk tiene un enfoque muy único para abordar eso. Entonces, si bien el panorama de la ciberseguridad ha estado evolucionando en términos de proteger la superficie, una de las cosas que realmente podemos hacer para combatir eso es entrar justo cuando se desarrolla el software. Creo que Guy tiene algunas opiniones bastante sólidas al respecto, pero ha creado una empresa centrada en esa área en particular. Podemos pedirle a Guy que comente un poco más sobre ese tema en particular, porque creo que es uno que está evolucionando y es de suma importancia para las empresas con las que trabajamos.

Guy Podjarny: Creo que Willie lo expresó muy bien en el sentido de que la ciberseguridad está expandiéndose. La superficie de ataque está cambiando. Y creo que con eso, lo que está sucediendo es que, por un lado, tienes todas las empresas y todo lo que hacemos que se está volviendo cada vez más digital. Y eso significa que está controlado y decidido por las aplicaciones. Y esa lógica, esas decisiones, realmente están definidas por los desarrolladores que construyen esas aplicaciones. Estas son las aplicaciones que mueven muchas de esas partes digitales de nuestras vidas, que cada vez son más, y las partes digitales de nuestros negocios. Por otro lado, lo que está sucediendo es que la tasa de cambio se está acelerando. Por lo tanto, no solo ha cambiado, sino que sigue cambiando y a un ritmo acelerado.

Y eso es una especie de paradigma fundamental que está sucediendo ahora mismo en términos de innovación empresarial. Y, en general, es algo bueno. Cuando hablamos de la cadena de suministro de software y de este uso de tecnología de código abierto y otros componentes, no es algo malo. Es algo genial. Ayuda a acelerar la innovación. No tienes que reinventar la rueda. Puedes construir cosas increíbles. Pero significa que la forma en que hacemos seguridad debe adaptarse. Debe ponerse al día con este ritmo más rápido y con cuánto de él se origina en este tipo de entornos de desarrollo. Realmente, cuántas de estas decisiones se toman en ese entorno de desarrollo en el que se escribe el código.

Cuando miras a Snyk, y todo el ethos de Snyk es decir: "Bueno, eso es lo básico. Eso es lo fundamental. Debes centrarte en el desarrollador". Y el significado de eso, una de mis cosas favoritas para hacer es hablar con un director de seguridad de la información y decirle: "Sí, estás aquí para ayudar a proteger la organización y eres probablemente el que firmará el cheque, pero no eres el usuario más importante del producto". Porque el usuario más importante del producto, el riesgo más grande que ambos enfrentamos, es que los desarrolladores realmente no lo adopten. Cuando los directores de seguridad de la información buscan adoptar este nuevo enfoque de seguridad, buscan implementar la seguridad y construirla en la forma en que construyen sus tecnologías, sus aplicaciones. Su desafío más grande es lograr que los desarrolladores realmente lo adopten, que realmente lo construyan.

Y así, cuando pensamos en la ciberseguridad en su conjunto, pensamos en la industria, pensamos en cómo ha cambiado y en la necesidad de adaptarnos a ella, necesitamos abrazar más ese enfoque. Necesitamos construir herramientas que sean realmente herramientas para desarrolladores que aborden la seguridad. Intentamos hacerlo aquí en Snyk, en términos de ayudar a los desarrolladores a asegurar lo que hacen. Y realmente lo que eventualmente quieres lograr es que los desarrolladores no se conviertan en expertos en seguridad de la noche a la mañana. Los desarrolladores tienen muchas cosas que hacer, incluyendo innovar y ayudar a que su negocio prospere. Y no van a convertirse en expertos en seguridad. No se va a convertir en el trabajo principal que hacen. El trabajo principal que hacen es crear valor para el cliente. Necesitamos simplificarlo para ellos.

VER: Líderes empresariales como desarrolladores: El auge del software sin código y de baja codificación (PDF gratuito) (Newsmatic)

Aprende a programar con The Ultimate Programming Bundle - ¡Oferta por tiempo limitado!

Necesitamos cambiar nuestro enfoque de la ciberseguridad a centrarnos en el desarrollador, pensar en muchas de esas funciones circundantes, ayudar a pensar cómo podemos simplificar eso. Y para mí, si cierro un poco el círculo en ese problema de ciberseguridad, no solo creo que es la forma correcta de asegurar tus aplicaciones, creo que fundamentalmente tenemos que cambiar el juego. Aquí hay una especie de juego del gato y el ratón, una competencia entre los atacantes y los defensores. Y si continuamos parchando cosas después de la implementación, nunca ganaremos. Y así, debes abrazar cada vez más eso. Por supuesto, también es fundamental asociarse temprano. Lo único que diría es que lo que acabo de describir y lo que Willie describió, estos son problemas masivos.

Antes, Bill, preguntaste sobre la colaboración, por qué estamos juntos. Y creo que lo que más me gusta del ecosistema de herramientas para desarrolladores, es un poco mejor en el espacio de herramientas para desarrolladores que en la seguridad, pero creo que esto es parte de abrazar un enfoque de herramientas para desarrolladores, es la colaboración. Es el reconocimiento de que estamos hablando de cambiar el ecosistema. Los desarrolladores están usando productos de IBM. Están usando estas plataformas. Están usando estas herramientas para desarrolladores. Están usando la plataforma Red Hat para ejecutar sus contenedores. Están haciendo todos estos diferentes trabajos. Y no pueden ir a otro lugar para asegurar las cosas. Necesitamos acudir a ellos como parte de esa simplificación. Y por eso, esta noción de asociación, y IBM es un gran socio en eso, se trata de construir seguridad y permitirles mejorar, ¿verdad? Es como incorporar las competencias de seguridad que necesitas en el día a día, y luego brindarte ese siguiente paso de apoyo cuando quieras ver las cosas desde una perspectiva más amplia, salirte de la actividad específica que estás haciendo en este momento.

¿Cómo convencer a los desarrolladores de construir seguridad en sus aplicaciones desde el principio?

Bill Detwiler: Me encantaría obtener una respuesta de ustedes dos, Guy y Willie, que es cómo hacer esa transición dentro de una organización que no necesariamente tiene un historial de establecer la seguridad en las aplicaciones desde el principio. Así que es un poco una reeducación. Es un poco de explicar por qué es importante. Es un poco de explicar y brindar a las personas las herramientas, a los desarrolladores las herramientas para construir aplicaciones seguras, porque durante décadas, era "Oh, simplemente lanzaremos esto. Queremos que funcione rápidamente. Queremos que funcione bien. Queremos que se vea bien y proporcione una buena experiencia al cliente. Y luego dejaremos que los administradores de redes, los profesionales de la seguridad y otras personas se preocupen por asegurar la aplicación".

Pero eso simplemente ya no es suficiente, como ambos han dicho. Entonces, ¿cómo convencer a los desarrolladores que no habían pensado en construir seguridad en sus aplicaciones desde el principio, a hacerlo en las organizaciones, que eso es lo correcto? Así que Guy, primero contigo, y luego Willie, me gustaría escuchar tu opinión al respecto.

Guy Podjarny: Sí, seguro. Así que, en primer lugar, estás haciendo la pregunta correcta, que es el cómo. Así que, ya estás en un buen lugar, que es "Reconozco que esto debe suceder. ¿Ahora, cómo lo hago una realidad?" Fundamentalemente, hay una respuesta de la organización y una respuesta del ecosistema. Como ecosistema, debemos trabajar para que las cosas sean más fáciles. Por lo tanto, debemos proporcionar herramientas y plataformas que simplemente hagan este cambio tecnológico menos intimidante. Deseas, de alguna manera, hacerlo un poco más fácil para que los desarrolladores realmente adopten. Pero el desafío más grande realmente suele venir de la organización y el cambio cultural que se produce. Y realmente, fundamentalmente, aparte de invertir en las herramientas y tecnologías adecuadas para hacer esto, deseas adoptar tanto un enfoque de amplitud como de profundidad.

Cuando piensas en las herramientas para desarrolladores y cómo se adoptan, no tienden a adoptarse solo haciendo algún nivel mínimo en toda la organización de uso de alguna herramienta mínimamente. Lo que suele suceder es que tienes algunos destellos brillantes. Hay algunos equipos que lideran la carga y se convierten en maestros en una determinada práctica, en una determinada herramienta. Se convierten en metodologías y se convierten en el modelo a seguir para gran parte del resto de la organización sobre cómo hacerlo correctamente e, importante, cómo el negocio se beneficia de eso, cómo porque lo han hecho de esta manera, realmente obtienen algunos resultados reales que mejoran la línea de fondo. Y al mismo tiempo, tienes muchos de estos conductores porque quieres adoptar tecnologías en la nube y todas estas nuevas tecnologías que te impulsan hacia la amplitud, diciendo: "Ok, necesito comprender cuál es el conjunto mínimo de participación de desarrolladores que necesito tener para poder desbloquear la transformación en la nube, la adopción en la nube, permitir que todas las aplicaciones lo hagan".

El rey Python sigue dominando el índice de lenguajes de programación TIOBE

Entonces, realmente, fundamentalmente, para las organizaciones que han aceptado esta necesidad, diría que deben pensar en estos dos caminos, por un lado, encontrar sus destellos brillantes, encontrar sus modelos a seguir e invertir en ellos y ayudarlos a ser realmente buenos en eso y celebrar ese éxito. Y luego, en segundo lugar, asegurarse de trabajar con todos para llegar al nivel uno, para simplemente abrazarlo y construirlo.

Y Willie, ¿qué opinas al respecto?

Willie Tejada: Mencionaste dos cosas. Uno es que los desarrolladores están acostumbrados a trabajar como lo hacen. Una de las cosas que creo que Snyk hizo realmente bien fue analizar cómo la mayoría de los desarrolladores actualmente realizan su trabajo de desarrollo. ¿Cuáles son las herramientas que usan? ¿Con cuáles herramientas están familiarizados? Y luego, como mencionaste, la comunidad de código abierto en realidad es una comunidad que replica a las personas que tienen notoriedad, como mencionó Guy.

Entonces, lo que suele suceder es que cuando logras un nivel de notoriedad en esas comunidades, la gente seguirá exactamente lo que estás usando y cuál es el proceso de metodología que estás utilizando. Así que uno de los primeros pasos, en ese sentido, para lograr la adopción, es encontrarlos donde están y luego influir, en muchos casos, en esas personas que tienen notoriedad para lograr esa adopción. Creo que, de muchas maneras, cuando aplicas lo que Snyk ha hecho y simplemente tomas ese enfoque y aplicas la IA, aproximadamente, al proceso, hay tres cosas fundamentales en términos de desarrollo.

Una es asegurar las cadenas de suministro de software. Eso es lo primero, en realidad, en hacer eso. Y podemos ... Aplicar la IA puede automatizar mucho más la gestión de seguridad del software de código abierto y cosas de ese tipo en esa área en particular. Al hacerlo y hacerlo como un enfoque sistemático, podemos aplicar la IA, en realidad, a medida que estos sistemas se vuelven más resilientes. Creo que el último informe de IBM sobre el costo de una violación de datos realmente mencionó que el tiempo de detección y contención fue de aproximadamente 287 días. ¿Verdad? Cuando lo piensas desde ese punto de vista, son 212 días para detectar y 75 días para contener. Con Snyk, estamos yendo directamente al principio, ¿verdad? Entonces, en muchos casos, muchas de estas cosas están afectando al día cero, justo donde comienza. Y eso es realmente un aspecto muy importante en esta nueva cadena de suministro que estamos construyendo. Y luego, la última pieza es simplemente utilizar la IA en la cantidad de estas piezas para lidiar con las amenazas cambiantes, porque al final de cuentas, hay otro humano que es el actor malintencionado que está trabajando a tiempo completo. Y así, no es solo derrotar una vez, sino que se trata de mantenerse y poder adaptarse al panorama de amenazas cambiantes. Y nuevamente, creo que eso es fundamentalmente una de las cosas que los desarrolladores están buscando, es poder llegar a donde ya están y lo que están usando hoy. Y francamente, Guy probablemente podría hablar mejor sobre eso que yo.

Guy Podjarny: Creo que los puntos están muy bien expresados. Yo diría que la IA, en general, su trabajo es simplificar. En realidad, estos son sistemas complicados. Se están volviendo más complicados cada día. Entonces, la IA está ahí para hacer que las cosas que solían ser difíciles sean fáciles. Y creo que en realidad hay algunas innovaciones excelentes. Hay GTP-3 en el espacio de código abierto. Tenemos nuestras propias cosas en Snyk con Snyk code, que se trata de un análisis de programas alimentado por IA de software. Y creo que podemos llegar a conclusiones sobre qué está haciendo el código y si está bien o mal mejor de lo que nunca lo hemos hecho antes. Y está progresando a pasos agigantados. El código abierto es fascinante. El código abierto tiene un inmenso poder y responsabilidad cuando se trata de seguridad. Se utiliza masivamente porque es increíble, porque es gratuito, porque no tiene bloqueo de proveedores y puedes controlarlo y todas estas otras buenas razones. Se abraza como ningún otro software comercial lo ha sido.

Las aplicaciones están mejorando en seguridad: informe del estado de la seguridad del software.

Y así, cada vulnerabilidad en él se magnifica debido a la mera adopción, la mera prevalencia de ese componente. Y al mismo tiempo, tiene esta espada de doble filo, que algunos mantenedores de código abierto no son remunerados por su trabajo. Es posible que no sean consistentes en él. No hay una organización central de seguridad que esté allí para equiparlos y trabajar con ellos para ayudarlos a consumirlos. Y así, tiene esta enorme responsabilidad y esta responsabilidad realmente arriesgada. Y realmente, la buena noticia, la forma de abordarlo, es la comunidad de código abierto y realmente se trata de cómo movilizamos la comunidad. Y tanto IBM como Snyk ahora son miembros premium de la Open Source Security Foundation, OpenSSF trabajando juntas. Entonces, ese es un consorcio que trata de ayudar a construir mejores herramientas, facilitar que el código abierto, y gran parte de IBM también es gratuito para herramientas de código abierto.

Es en realidad una gran tendencia en el ecosistema, que muchas herramientas excelentes están disponibles de forma gratuita para el código abierto. Comercialmente, apuntamos a eso, influenciar estos proyectos eminentes, porque a su vez ayudan al negocio. Pero eso es algo bueno. Es un ciclo aquí, lo que llevamos a cabo. Ayudamos a que esos proyectos sean mejores. Y a su vez, eso es visible y impulsa esa adopción. Y realmente, solo movilizar esto en términos de responsabilidad, lograr que más mantenedores de código abierto y toda la comunidad de código abierto esperen una inversión en seguridad, estandarizar cómo se comunica y se visualiza eso.

Y creo que está mejorando. Lo último que diré es que el código abierto no termina en el código abierto. Creo que lo que muchas organizaciones están comenzando a darse cuenta es que el código abierto no es gratuito para que lo consuman. Si compras software a alguien, lo has comprado. Tienes a alguien que está ahí para protegerte. Puedes confiar en ellos para hacerlo. Si descargas algo de código abierto, ese mantenedor de código abierto realmente no te debe nada. Están ahí y te están dando algo de gran valor para ti, que significa poseerlo. Y muchas veces, ahí es donde los proveedores comerciales, como Snyk e IBM, están ahí para proporcionar soporte comercial para que puedas consumir el código abierto de manera adecuada en un entorno de calidad empresarial. Y los dos trabajan bien juntos. Así es como se ve una comunidad próspera en este sentido. Y en cuanto a los desafíos, hay muchos desafíos, pero desde la perspectiva de las tendencias, creo que hay más colaboración en torno a ayudar a consumir de manera segura el código abierto y construir componentes de código abierto seguros que nunca antes, y está avanzando a un ritmo rápido.

¿Cómo deben configurarse los equipos de desarrollo para construir software seguro?

Bill Detwiler: En el tiempo que nos queda, me gustaría finalizar con una pregunta para ambos, que es, si tuvieran un consejo, si tuvieran una cosa que decir a los desarrolladores que están escuchando esto o a los desarrolladores, a esas personas que lideran equipos de desarrollo que están escuchando, ¿qué sería? ¿Cómo deben configurar sus equipos para tener éxito en este nuevo panorama de amenazas y para las nuevas amenazas a las que nos enfrentamos ahora y que enfrentaremos en el futuro? Así que Willie, primero contigo, y luego Guy, contigo.

Willie Tejada: Tal vez pueda dar una visión un poco más macro y luego Guy puede profundizar en eso, porque creo que comienza con lo que mencionaste al principio de la conversación, Bill. ¿Hay alguna forma de tomar, dadas las amenazas cibernéticas, una mentalidad centrada en el desarrollador y dejar que el desarrollo y la cadena de suministro del software del modelo de próxima generación realmente sean un aliado para limitar tanto las amenazas como cosas que suceden realmente desde el escenario del día cero, porque se está construyendo directamente, o están utilizando herramientas que eliminan el proceso de pensamiento del desarrollador porque está construido en la forma en que realmente están haciendo el desarrollo? Creo que lo primero es crear esa conciencia. Y luego, número dos, es hacerles saber sobre las herramientas que están disponibles para que realmente puedan hacer su trabajo.

Y luego, también tener en cuenta que, nuevamente, los desarrolladores se acostumbran a hacer las cosas a su manera. Pasan por sus conjuntos normales de herramientas y sus metodologías. Y así, introducir, básicamente, ese requisito, pedirles que sean visibles en relación con las cosas que están haciendo desde el principio. Y ahí es donde compañías como Snyk y otros realmente están proporcionando muchos recursos para los desarrolladores que ingresan a esta próxima generación.

20 años de .NET: Un viaje asombroso hacia una plataforma abierta y multiplataforma

Bill Detwiler: Buen consejo. Y Guy, ¿qué agregarías?

Guy Podjarny: Creo que Willie lo expresó muy bien. Supongo que mi adición sería para los desarrolladores. Y el mejor consejo es simplemente, no tengan miedo. Hacemos que la seguridad sea algo tan místico con todas nuestras películas y moda, y es un espacio complicado y hay villanos y no lograrás la perfección, pero sabes qué, el software es complicado. Y para la mayoría de los desarrolladores de software, han resuelto problemas tan complicados en su trabajo. Y diría que no necesitan dominarlo desde el primer día. Solo comiencen, comiencen a aprender sobre algunos de los problemas en su código. Empiecen a avanzar, asumir cierta responsabilidad, y lo desarrollarán. La operación al principio era una propuesta muy aterradora para los desarrolladores. Ahora, son mejores prácticas. Muchos desarrolladores se enorgullecen de su capacidad para construir software muy operable y muy instrumentado, y llegaremos al mismo lugar con la seguridad. No tiene que ser el día uno. Así que, solo comiencen, y llegaremos a buenos resultados.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Desarrollo, allí encontraras muchos artículos similares a Cómo los desarrolladores pueden estar en la primera línea de la ciberseguridad , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.