Observación de la industria: la seguridad es lo primero

Observación de la industria: la seguridad es lo primero


Los hacks de SolarWinds y Colonial Pipeline han puesto la seguridad a la vanguardia del desarrollo de software. Una vez más.

Y nuevamente, nuestros “pensamientos y oraciones” están dirigidos a los clientes de estas empresas ya las propias empresas que resultaron dañadas por los ataques.

Digo esto porque, al igual que los tiroteos masivos que asolan a Estados Unidos, y por favor no confunda esta metáfora con una amalgama de asesinatos y violaciones de software, no parece que podamos controlar ninguno de ellos.

En ambos casos, culpo a las industrias. Obviamente, a pesar del costo humano, la industria de armas tiene un interés personal en la proliferación de armas. En la industria del software, nuestra industria tiene interés en brindar a las personas las herramientas que necesitan para moverse más rápido, enamorada de alguien cuyo sitio web es unos segundos más rápido o que recibe un paquete unas horas antes. Puede entregarlo a domicilio.

Algunos pueden llamar a esto herético o morder la mano que nos alimenta. Eso no es lo que se quiere decir. Estoy impresionado con los cambios que he visto en esta industria durante más de 20 años. ¿Quién podría haber imaginado la nube, Kubernetes, Edge Computing o la infraestructura como código en ese entonces?

A pesar de todos los beneficios que ofrece la nube, nunca hemos experimentado los tipos de piratería maliciosa y pérdida de datos que vemos hoy cuando se ejecutan aplicaciones en centros de datos locales, detrás de firewalls y con un código que no depende de las llamadas a muchos. servicios externos para que los vectores de ataque fueran mínimos. ¿Secuestro de datos? ¿Robó millones de números de seguridad social y números de tarjetas de crédito? Inaceptable y casi por completo evitable si nuestra industria se tomara la seguridad tan en serio como lo hizo para llegar al mercado rápidamente.

Hay una razón por la que las secuencias de comandos entre sitios y la inyección de SQL se mantuvieron en la lista de las 10 principales vulnerabilidades de aplicaciones de OWASP durante más de una década: las organizaciones ven la seguridad como un mal necesario en lugar de su primera prioridad. La seguridad, como las pruebas generales de software, retrasa la implementación. Mientras tanto, los «malos actores», por otro lado, han hecho de la intrusión en aplicaciones y sistemas su máxima prioridad, incluso es su razón de ser. En el hackeo del Oleoducto Colonial, tenían 4,4 millones de buenas razones para tomar como rehén el oleoducto.

Lo que debemos hacer para contener este daño requerirá un reajuste de prioridades. La seguridad debe ser una prioridad para todas las versiones de software. No es algo que simplemente se deba «empujar a la izquierda» para agregar a la lista de cosas que los desarrolladores les han asignado sin el conocimiento y la capacitación necesarios para hacerlo de manera efectiva. Ponemos el carro de velocidad delante del caballo de seguridad, y eso le cuesta a la sociedad mucho dinero.

No puedo argumentar en contra de muchos de los beneficios comerciales de la velocidad y la agilidad. La provisión rápida de nuevas funciones basadas en las consultas de los clientes y los datos del usuario es importante para todas las empresas. Pero cuando la calidad se ve afectada por pruebas inadecuadas y la seguridad por falta de atención, los beneficios de la velocidad lo compensan con creces.

El ataque al Oleoducto Colonial por sí solo dejó grandes franjas de la costa este sin gasolina, y donde se puede comprar, el precio ha aumentado en casi un dólar el galón en algunos lugares.

Algunos han instado nuevamente al gobierno a tomar la iniciativa en la ciberseguridad de nuestra infraestructura vital. Esta columna una vez expresó su apoyo a esta idea cuando ocurrieron las primeras violaciones de datos y el robo de identidad. Los esfuerzos federales para controlar la violencia armada, o incluso para evitar que gobiernos extranjeros interfieran en nuestras elecciones, demuestran que tampoco pueden manejar esta crisis.

No, depende de nuestra industria cambiar la noción de que la seguridad es un mal necesario que se paga de labios para afuera para no obstaculizar el ritmo de la innovación. Tal vez se deba a que las violaciones de software generalmente solo resultan en pérdidas financieras y, a diferencia de la industria armamentista, no en vidas humanas. Quizás los esfuerzos de seguridad requieran aún más tiempo y esfuerzo concertado para implementar muchos de los nuevos procesos de desarrollo de software que serán necesarios para cambiar la cultura.

Aún así, sigo siendo optimista de que las iniciativas de seguridad de hoy pueden ayudar a ralentizar la invasión de nuestros sistemas y detener la hemorragia de los datos. Se requiere un compromiso renovado para que la seguridad de la entrega de software sea una prioridad máxima.

tecnologia1020

Cómo filtrar y ordenar datos en Microsoft Excel

Cómo filtrar y ordenar datos en Microsoft Excel

Cómo usar la función SUMAPRODUCTO en Excel

Cómo usar la función SUMAPRODUCTO en Excel

Cómo usar la función BUSCAR en Excel

Cómo usar la función BUSCAR en Excel

Cómo usar la función CAMBIAR en Excel

Cómo usar la función CAMBIAR en Excel

Cómo elegir un IDE para ciencia de datos

Cómo elegir un IDE para ciencia de datos

El mejor software de visualización de 2022

El mejor software de visualización de 2022

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *