Que debe saber el #LOB sobre la seguridad de las Aplicaciones donde corre su negocio?

Por diciembre 28, 2017

Cinco preguntas para hacer durante el partido de golf, de Pocker o la Reunión de Directorio

@Scavanna: Al finar, necesita solo una respuesta corta del estilo: “El riesgo es ACEPTABLE. Avancemos.” 

Obviamente la respuesta corta no es simple, y lograr acortarla a ese nivel es un desafío que involucra a varias áreas de tecnología.

Pero yo me pregunto que pasa cuando no se busca alcanzar ese objetivo? Quiero decir, el negocio espera saber el riesgo que enfrenta, el riesgo que asume o las acciones disponibles para mitigarlo hasta niveles aceptables y aunque es cierto que no es posible tener toda la información, tambien es cierto que “poder y no hacer” tiene sabor amargo.

Por otro lado, cuanta mas informacion tenemos disponible, mas nos piden que podamos responder esas preguntas. y cuantos mas incidentes de seguridad ocurren en un mercado/industria mas nos exigiran que tengamos contemplada esa parte de la ecuacion. El riesgo.

Todo negocio tiene un costo proyectado, una ganancia esperada y un riesgo, sin una de esas variables, la ecuacion no es creible.

  • Cuando ademas el impacto en una linea de negocios, afecta a las otras, porque afecta la imagen de la empresa, mas presion sobre hacer las cosas bien.
  • Cuando ademas el impacto afecta datos de clientes y puede derivar en una demanda,

Pero el LOB no tiene por que saber de lo que pasa en la cocina, cierto? No, no es cierto.

El negocio tiene cada vez mas que ver con tecnología, la tecnología esta cada vez mas metida en el corazón de cualquier negocio.

Eso es transformación digital. y el LOB no puede no saber de que se trata. (En un lenguaje que pueda entender y con un nivel de agregacion-detalle propio de su funcion)

Continuare insistiendo que hay un problema de comunicación entre distintas areas con distintas funciones. Hay que resolverlo, no importa por donde comience a resolverlo.

Si usted es parte del LOB, entonces confio en que esto le sera util.

@SrLOB: – Ja. ok, en serio, deme algo que me resulte útil porque lo que yo me encuentro habitualmente tiene esta forma: 

Como responden las distintas areas a la pregunta: “Esto es Seguro?”

  • @SrDevManager: – Es demasiado complejo de explicar, pero créame que va a funcionar, ademas es responsabilidad de Seguridad proteger los sistemas.
  • @SrSecManager: – No tengo plata y Desarrollo no me hace caso, no saben incluir seguridad en el desarrollo.
  • @SrTechManager: – Para cuando dijo que lo queria?
  • @SemiSrLOB: – Podriamos contratar una SoftwareFactory que lo desarrolle por nosotros.
  • @SemiSrSecAnalist: – Yo podria correr algunos pen-test con unas tools open source.
  • @CIO: – Si no hay evidencia de que es un problema, no voy a desviar presupuesto por la paranoia de la gente de seguridad, si están tan preocupados, que lo pague el negocio
  • @SrSecManager: Nosotros no vamos a soportar una aplicación con vulnerabilidades a menos que el negocio acepte el riesgo, los sistemas de protección nos podrían proteger de los ataques externos, podriamos incluirlo en el proximo servicio de auditoria externa.

@SrLOB: Pero cual es el riesgo?, es Real? cuanto cuesta arreglarlo? Por Que no me avisaron antes? sera posible que todo sea tan complicado en esta empresa?  

@Scavanna: ok, ok. respire, respire otra vez. 

Si entendió algo de lo que leyó hasta ahora, vamos bien. por favor, avance un poco mas.

Yo creo que haciendo las preguntas correctas (incomodas, tal vez, pero correctas) se puede avanzar hacia una posición que pueda defender.

Cinco preguntas sencillas, que deberian tener respuestas claras:

  1. Tenemos una política de seguridad integrada al ciclo de desarrollo que deban cumplir las aplicaciones que se ponen en producción (sin importar quien las desarrolle)?
  2. Cuando y donde se hace el control del cumplimiento de esa política, análisis de vulnerabilidad de las Aplicaciones, la infraestructura donde corren y los procesos de administración? (Desarrollo, Testing, Produccion)
  3. Quien es responsable y quien paga el análisis de vulnerabilidad de las aplicaciones, de la infraestructura? (Cuanto cuesta, como se distribuye el costo?)
  4. Quien es responsable y quien paga la remediacion de una vulnerabilidad que se encuentra en una aplicación (sin importar quien la desarrolle, eso incluye SoftwareFactory)?
  5. Si salimos a producción con una aplicación que tienen vulnerabilidades, cual es el riesgo que estamos asumiendo, como lo estamos mitigando?

No se enrosque sobre los posibles ataques y los potenciales atacantes, le alcanza con saber que si pone una aplicacion en internet, lo intentaran atacar desde el primer momento (desde la primer hora, para ser mas preciso).

Con eso en mente, obtenga respuesta a esas cinco preguntas. 

Y si no pueden constertarle satisfactoriamente entonces tal vez sea momento de tomar otro tipo de decisiones.

@SrLOB: Oiga, pero casi todo es dinero?

@Scavanna: Casi, el principal motivo por el que no se hacen los análisis de vulnerabilidad en las aplicaciones de una empresa, gira en torno de la falta de responsables o la falta de presupuesto, y es un circulo vicioso. El ultimo responsable es el Negocio, y el Negocio debería contemplar los costos de que las cosas se hagan bien. 

En la practica, eso es presupuesto para seguridad, pero también para Desarrollo.

Cuanto le cuesta a su empresa 10 personas por 1 año para desarrollar y hacer evolucionar una aplicación de negocios (Diseño, Desarrolladores, Gerentes de proyecto, Testing, Producción, etc) –

Integrar el análisis de vulnerabilidad desde la PC del desarrollador hasta Producción con Veracode podría costar para esa aplicación menos dell 3%. y creame que resolver vulnerabilidades en las etapas temprana de desarrollo, le hará ahorrar mucho mas que la inversión indicada. De hecho, le hara ahorrar muchos dolores de cabeza.

Conclusion: Estoy siendo claro?

Pero si no fuera el caso, lo invito a hacer una prueba. Hagamos un análisis de vulnerabilidad de su aplicación.

Santiago CavannaEscrito por Santiago Cavanna
Ciberseguridad y administración de API
Solution Account Director de CA Technologies

LinkedIn: @santiagocavanna
Twitter:  @SCavanna