Por Natasha Gupta, gerente senior de soluciones de seguridad, Synopsys Software Integrity Group A medida que las organizaciones adoptan esfuerzos de transformación digital para acelerar la entrega de software, las prácticas de seguridad han tenido que evolucionar. Los equipos de desarrollo están cambiando cada vez más hacia el modelo de fábrica de software: estableciendo un marco escalable entre personas, procesos y herramientas para estandarizar cómo se desarrollan y mantienen las aplicaciones. Esto tiene implicaciones en la forma en que se implementan los flujos de trabajo de seguridad, particularmente cuando se analiza la automatización de pruebas, la validación de controles de seguridad y la creación de código más seguro. Para mantenerse al día con el ritmo del desarrollo moderno, los programas de seguridad de aplicaciones deben lograr lo siguiente: Hacer cumplir las comprobaciones en cada etapa del ciclo de vida de desarrollo de software (SDLC): las organizaciones necesitan soluciones que puedan integrar evaluación, controles, corrección y validación dentro de los procesos para mantener un cumplimiento continuo. Esto incluye definir y hacer cumplir de manera centralizada políticas que orquesten las pruebas y la priorización. Proporcionar responsabilidad y transparencia: los equipos de seguridad y desarrollo necesitan una perspectiva global y precisa de todas las aplicaciones, componentes y datos de seguridad asociados. Este contexto es necesario para comprender el alcance total del riesgo de software y la eficacia de las herramientas y los equipos de seguridad actuales. Conecte fuentes de datos, herramientas y flujos de trabajo clave dentro del entorno existente: es vital habilitar un camino sin fricciones hacia la adopción de la seguridad entre múltiples equipos de desarrollo conectando herramientas existentes, seguimiento de problemas y marcos de entrega de software dentro de una experiencia de usuario uniforme. Esto simplifica la capacitación, rompe los silos entre equipos interrelacionados y, sobre todo, estandariza la visibilidad de la seguridad en todas las fuentes de software. En la práctica, muchas organizaciones logran estas capacidades de forma gradual utilizando una variedad de herramientas que incluyen plataformas de gestión de vulnerabilidades, herramientas de prueba de seguridad de aplicaciones (AST) y métodos locales para el seguimiento de problemas y la generación de informes. Si bien estos métodos proporcionan datos y contexto sobre cuestiones que se descubren en diversas etapas del SDLC, ofrecen una variedad de instantáneas que no se pueden reconstruir fácilmente. La creciente huella de amenazas ha acelerado la necesidad de soluciones que unifiquen herramientas, datos y flujos de trabajo fragmentados para proporcionar una visión holística del riesgo del software. Esto ha impulsado la evolución de la gestión de la postura de seguridad de las aplicaciones (ASPM). ¿Qué es ASPM? Las soluciones ASPM consolidan datos de seguridad, visibilidad y aplicación de controles en todo el desarrollo, implementación y operaciones de software. Permiten a las organizaciones sintetizar señales de seguridad en múltiples fuentes de datos de seguridad, organizar herramientas y ver la postura de riesgo en todas las aplicaciones dentro de una única capa de gestión. Según un estudio reciente de Gartner, más del 40% de las organizaciones que desarrollan aplicaciones de software patentadas adoptarán ASPM para 2026 para identificar y resolver rápidamente los problemas de seguridad de las aplicaciones. Hay varias capacidades clave que las soluciones ASPM brindan para acelerar la eficacia de la seguridad. Se integra con sus herramientas existentes: a menudo, las organizaciones utilizan herramientas de seguridad de múltiples proveedores para satisfacer diferentes necesidades de escaneo (SAST, SCA, IAST, DAST, escaneo API y más). Cada una de estas herramientas proporciona su propia evaluación de riesgos, pero carece del contexto más amplio de otros resultados de pruebas o de la importancia empresarial de los componentes y activos de software clave. Las soluciones ASPM brindan valor al integrarse con todas las herramientas de desarrollo y seguridad de terceros, y normalizan los datos de estas herramientas para proporcionar una única fuente de verdad con una taxonomía de riesgos común. Esto es fundamental para que las soluciones ASPM proporcionen contexto sobre los activos de software vulnerables y planifiquen la visibilidad de todos los problemas relevantes en cada etapa del SDLC. Proporciona una forma de definir, gestionar y hacer cumplir políticas: establecer políticas de seguridad universales es clave para implementar barreras de seguridad que impidan que los problemas avancen. Las soluciones ASPM brindan una manera de especificar políticas que definen umbrales de criticidad, SLA de remediación y activadores de pruebas para permitir una aplicación más estandarizada de las prácticas de seguridad. Esto elimina las conjeturas a la hora de tomar decisiones de seguridad y elimina ciclos de pruebas redundantes. Permite a los equipos priorizar el trabajo correcto: las soluciones ASPM le permiten definir criterios de riesgo para identificar qué trabajo de seguridad priorizar y cómo se deben clasificar los problemas. Estos criterios pueden incluir contexto sobre activos de software críticos para el negocio, violaciones de cumplimiento y gravedad del problema. Con estas capacidades, los desarrolladores pueden eliminar escalaciones innecesarias y centrarse en el trabajo de seguridad más importante. Proporciona un resumen holístico del riesgo de software: una solución ASPM proporciona un contexto sobre dónde reside el software más vulnerable de una organización, si se han resuelto los problemas y cualquier infracción de política o cumplimiento. Esto proporciona una manera para que los equipos midan la efectividad de su programa general de seguridad de aplicaciones y les permite auditar su software con precisión. Hoy en día, la mayoría de las organizaciones entienden que el riesgo de software es igual al riesgo comercial, y cerrar la brecha de proceso entre los equipos de desarrollo y seguridad es clave para abordar ese riesgo. Con ASPM, las organizaciones pueden reducir sustancialmente la amenaza a sus negocios cambiando su modelo de seguridad de aplicaciones para seguir el ritmo del desarrollo moderno y amplificar el valor de sus herramientas de seguridad existentes. Acerca del autor Natasha es gerente senior de soluciones de seguridad en Synopsys y dirige la estrategia de comercialización de Software Risk Manager, una solución de gestión de la postura de seguridad de las aplicaciones (ASPM). Ha trabajado durante diez años en el ámbito de la ciberseguridad y las redes empresariales. Antes de Synopsys, Natasha trabajó en ServiceNow, donde gestionó iniciativas de marketing de productos para ServiceNow Security Operations, una plataforma SOAR para la gestión de incidentes y vulnerabilidades. También ocupó puestos anteriores en marketing de productos y gestión de productos de software en Imperva y A10 Networks. Visite el sitio web de nuestra empresa: https://www.synopsys.com/software-integrity.html URL de la publicación original: https://www.cyberdefensemagazine.com/shifting-left-means-shifting-smart-managing-software-risk- con-aspm/

Source link