The Dept. of Know Live!: Ellen Körbes nos habla sobre cómo deben relacionarse los equipos de seguridad con los desarrolladores
Todo el mundo sabe que la relación entre el personal de seguridad y el de desarrollo suele ser tensa. A los desarrolladores se les presiona para que envíen código rápidamente, y les resulta muy frustrante tener que frenar un proyecto en seco por un requisito de seguridad. Tal y como comentó Omar en la tercera entrega de The Dept. of Know Live!, los equipos de seguridad suelen implementar nuevos programas sin tener en cuenta su repercusión en el proceso de desarrollo.
La semana pasada, colaboré en esta serie de charlas para analizar los pormenores de la relación entre seguridad y desarrollo. Kelly Shortridge, Bea Hughes y yo comentamos en qué falla la seguridad a los desarrolladores y hablamos sobre cómo es la seguridad que sí tiene en cuenta el trabajo de desarrollo.
Si te interesa, puedes acceder a la charla. De momento, te dejo a continuación mis conclusiones.
1. Interésate por las prioridades de los desarrolladores
Los equipos de seguridad deben relacionarse con los desarrolladores desde la curiosidad. Si detectas que los desarrolladores están infringiendo algunas políticas, plantéate por qué sucede esto. Si es un problema recurrente, es probable que algo esté interfiriendo en sus flujos de trabajo. Los equipos de seguridad deben pensar en los desarrolladores sobre los que pretenden influir y esforzarse en entender cuáles son sus prioridades. Ofrece a los desarrolladores algo que se ajuste a esas prioridades en lugar de esperar que adapten sus prioridades y flujos de trabajo a los de la seguridad.
2. Piensa que cada cambio de contexto tiene un precio
Una métrica que los equipos de seguridad deberían tener muy en cuenta al implementar nuevos requisitos de seguridad es la cantidad de cambios de contexto a los que tendrán que enfrentarse los desarrolladores. Hoy en día, los desarrolladores manejan una cantidad enorme de código, que no deja de crecer, por lo que es fundamental eliminar cualquier tipo de distracción. Recuerda que cada cambio de contexto tiene un precio y que lo ideal es que no haya ninguno. Deberíamos reducir las veces en que un desarrollador debe dejar de lado su código para centrarse en un requisito de seguridad, o alejarse de su entorno de desarrollo para manejar una herramienta de seguridad. No obligues a los desarrolladores a cambiar de contexto a menos que sea realmente importante y trata cada cambio de contexto con sumo respeto.
3. No te cierres a la idea de una seguridad invisible
Reducir la cantidad de cambios de contexto que deben realizar los desarrolladores implica aceptar que la infraestructura pase a un segundo plano. Un entorno de desarrollo es algo dinámico, por lo que necesitamos herramientas de seguridad integradas que controlen el código mientras se escribe o los entornos de desarrollo a medida que van cambiando. Automatiza todo lo que se pueda. En el fondo, los desarrolladores quieren que la seguridad desaparezca, y sé que esto es difícil de entender para los profesionales de la seguridad, que podrían pensar que su trabajo no importa. Pero conviene recordar que para hacerse casi invisible hace falta mucha empatía: hay que saber ponerse en la piel del que está al otro lado. Es como cuando tenemos salud y seguimos con nuestras vidas sin plantearnos siquiera que estamos sanos.
Resumen
Aunque los equipos de seguridad y desarrollo puedan tener intereses contrapuestos, lo primero que deben hacer para limar asperezas es recordar que, en última instancia, todos trabajan con un objetivo en común: el éxito de su organización. Fomentar la curiosidad, la empatía y la voluntad de dar prioridad a los desarrolladores en los equipos de seguridad les permitirá avanzar enormemente hacia los objetivos comunes y dejar de ser percibidos como un escollo.
Puedes ver la charla completa bajo demanda. Además, estate atento porque el 31 de marzo a mediodía (PST), Daniel Miessler, fundador de Unsupervised Learning y Head of Vulnerability Management and AppSec en una gran empresa de servicios financieros, viene a The Dept. of Know Live! para hablar sobre la importancia de la gestión de activos en la seguridad.