Si la seguridad es un trabajo de equipo, ¿por qué tantas organizaciones siguen considerándola una especialidad?
VMware encargó a Forrester Consulting que investigara cómo se encuentra actualmente la relación entre los departamentos de TI, seguridad y desarrollo. Las conclusiones se recogen en un documento de liderazgo de pensamiento recientemente publicado en inglés: «Bridging the Developer and Security Divide».
El problema reside en la falta de coordinación entre equipos
Cuando los profesionales de la seguridad trabajan para proteger sus organizaciones, los desarrolladores no suelen participar en la planificación de la seguridad. No obstante, se les acaban asignando procesos que complican una interacción que ya es bastante tensa.
Solo uno de cada cinco desarrolladores encuestados afirma entender las políticas de seguridad que debe cumplir. Al mismo tiempo, resulta alarmante saber que más de la mitad de ellos no participan en absoluto en la toma de decisiones sobre políticas de seguridad, aunque muchas de ellas afecten en gran medida a su trabajo.
Aquellas organizaciones cuyos equipos de seguridad y desarrollo mantienen una relación positiva pueden acelerar el ciclo de vida del desarrollo de software unos cinco días por versión si las comparamos con aquellas en que esta relación no existe. Esto demuestra hasta qué punto están en juego la comercialización y la ventaja competitiva.
Casi tres cuartas partes de los encuestados estuvieron de acuerdo en que los altos directivos se centran más en fortalecer la relación entre los equipos de desarrollo y de seguridad ahora que hace dos años, pero todavía hay tensiones. De hecho, uno de cada tres responsables de la toma de decisiones afirmó que los equipos de seguridad y desarrollo de sus organizaciones no colaboran de forma efectiva ni progresan a la hora de reforzar sus relaciones. La falta de definición de funciones en los equipos de desarrollo, la falta de comunicación entre equipos y las prioridades en torno a la competencia afectan sobremanera a la colaboración.
La seguridad requiere un cambio de percepción
Dado que la seguridad sigue considerándose un obstáculo en las organizaciones y que el 52 % de los desarrolladores creen que las políticas reprimen su capacidad de innovar, es necesario un cambio de percepción mayor en las esferas tecnológicas de las organizaciones. En lugar de percibirse como el equipo que solo interviene para solucionar vulneraciones y fugas, o como el que se interpone en el camino de la innovación, el equipo de seguridad debe integrarse entre las personas, los procesos y la tecnología.
El trabajo del personal de seguridad debe ser conjunto y simultáneo al del de TI o de desarrollo, a fin de garantizar la protección en todas las nubes, todas las aplicaciones y toda la infraestructura digital. Esto requiere implantar una cultura en la que todos los equipos tengan intereses, objetivos y parámetros comunes, y en la que todos hablen un mismo idioma. El valor para la empresa es incalculable cuando los equipos de TI, seguridad y desarrollo colaboran en la toma de decisiones, el diseño y la ejecución.
Obtención de resultados
La coordinación de las prioridades y los compromisos de los equipos allanará el camino que se debe seguir, y ya se está avanzando en este frente. Curiosamente, más de la mitad de los encuestados esperan que los equipos de seguridad y desarrollo se unifiquen en los próximos tres años. Por otro lado, el 42 % espera que la seguridad se integre más en el proceso de desarrollo en este mismo periodo. Cada vez se reconoce más que la coordinación entre equipos permite a las empresas reducir los silos entre estos (71 %), crear aplicaciones más seguras (70 %) y mejorar la agilidad para adoptar nuevos flujos de trabajo y tecnologías (66 %).
Recomendaciones clave
El estudio incluye algunas recomendaciones clave, por ejemplo:
1. Disponer de una visión sólida e integral para reducir las prioridades en torno a la competencia y proveer a los equipos con las herramientas y los procesos que necesitan.
2. Integrar a los defensores de la seguridad en los equipos de desarrollo en lugar de aplicar medidas de manera forzosa.
3. Hablar un idioma común con los desarrolladores para relajar las tensiones entre equipos.
Estos son solo algunos de los increíbles hallazgos expuestos en el nuevo estudio de Forrester. Descargue y lea el informe «Bridging the Developer and Security Divide» completo para conocer más detalles.