El desarrollo de software y las canalizaciones de DevSecOps son objetivos populares para los piratas informáticos. Se pueden proteger mejor utilizando el marco NIST.
“La forma en que se desarrolla el software cambia constantemente y los nuevos métodos aumentan la eficiencia del proceso de desarrollo. La arquitectura del software también está evolucionando para que gran parte del software pueda construirse a partir de componentes estándar reutilizables”, afirmó Tom Molden, CIO Global Executive Engagement de Tanium.
Adaptar los sistemas de control al software.
“Piense en ello como construir una casa prefabricada, donde las piezas estándar se pueden construir en una fábrica con mucha mayor eficiencia y calidad, mientras que las partes verdaderamente valiosas y personalizadas de la casa se dejan al constructor o al artesano en el lugar. A medida que el mundo del desarrollo de software cambia rápidamente, las oportunidades de riesgos de seguridad se multiplican, lo que significa que los sistemas de control diseñados para ayudar a las empresas a proteger el software que desarrollan e implementan también deben adaptarse.
La integración constante y la implementación constante (los nuevos procesos introducidos en el desarrollo nativo de la nube) llevan el progreso a un nivel en el que los humanos ya no pueden seguir el ritmo. Incluso el mejor ingeniero de seguridad de aplicaciones no podría mantenerse al día con algo que cambia constantemente.
NIST: igualdad de protección para todos los involucrados
Por extensos que sean, los marcos del NIST son útiles porque adoptan un enfoque muy integral de los controles de seguridad: piensan las cosas detenidamente y presentan mucha información detallada. Otra forma de verlo es que ellos hicieron el trabajo por usted: un caballo regalado, por así decirlo. Un marco de referencia como el NIST, tan utilizado en todo el mundo, significa que todos los actores involucrados en la protección del medio ambiente leen la misma partitura.
Todos los tipos de controles de seguridad suelen implicar algún nivel de componente manual. En algún momento, un analista u operador cibernético tiene que mirar algo y tomar una decisión. La implicación de CI/CD es un mayor nivel de automatización en el proceso de desarrollo de software, y el desafío suele ser cómo cubrir esos pasos de la automatización que normalmente lleva a cabo un humano.
Varios marcos NIST
Probablemente será muy difícil continuar apoyando el desarrollo de software heredado y nativo de la nube en el futuro. La evolución de la nube ha obligado a la estandarización y ha permitido eficiencias que normalmente no se encuentran en el mundo del desarrollo heredado. El desarrollo de software heredado ocurre en tantos entornos diferentes y de tantas maneras diferentes que es difícil imaginar una reestructuración. Si tuviera un euro de sobra, lo invertiría en un desarrollo más rápido hacia la nube y devsecops en lugar de intentar arreglar algo de forma retroactiva.
Hay muchos tipos diferentes de marcos NIST y es útil comprender cómo funcionan juntos. Creo que sería útil una presentación a nivel de liderazgo de los hallazgos clave del entorno de control del NIST, para mostrar cómo este nuevo marco se relaciona con otros”.
Más en Tanium.com
Acerca de Tanio Tanium, el único proveedor de administración convergente de terminales (XEM) de la industria, está liderando el cambio de paradigma en los enfoques tradicionales para administrar entornos tecnológicos y de seguridad complejos. Solo Tanium protege a todos los equipos, puntos finales y flujos de trabajo de las amenazas cibernéticas al integrar TI, cumplimiento, seguridad y riesgo en una sola plataforma. La plataforma Tanium proporciona una visibilidad integral de todos los dispositivos, un conjunto unificado de controles y una taxonomía común.
Artículos relacionados con el tema