En plena carrera por entregar código más rápido, muchas empresas se enfrentan a una encrucijada que podría estar mal planteada desde el inicio. Mientras el ritmo del negocio acelera, la superficie de ataque crece sin control, y los equipos de desarrollo siguen sin integrar la seguridad en su ADN. ¿Y si el problema no fuera la elección, sino el enfoque? Este artículo propone una solución que convierte a la seguridad en aliada del negocio: invisible, continua, y sin fricciones.
Por Vinicius Caires es Head of Delivery de Entelgy en Brasil
En plena carrera por nuevos productos y funcionalidades, la superficie de ataque también crece y, con ella, el riesgo de brechas de seguridad que pueden exponer datos sensibles, dañar la reputación de la marca e incluso, comprometer la continuidad del negocio. Aún así, la gran mayoría de los equipos de desarrollo no adoptan un proceso de desarrollo seguro y mucho menos incorporan estas prácticas en su S-SDLC (si no conoces este, es el Secure Software Development Cycle, es decir, una metodología de desarrollo segura), poniendo aún “más peso” sobre los hombros de los equipos de seguridad.
El contexto de la “velocidad” va más allá de la codificación, llegando a la infraestructura de la aplicación. Un estudio realizado en noviembre de 2023 por Venafi, denominado “Estado actual de la seguridad en la nube”, encontró que un número considerable de líderes de seguridad y TI no entienden los riesgos de seguridad que implica migrar aplicaciones heredadas a la nube, ya que recurren a modelos de contenedorización y microservicios, que hacen que las mejoras de las aplicaciones sean un logro, Pero en la mayoría de los casos, incluso la configuración de seguridad nativa de la nube se deja desatendida, esto se debe al hecho de que hay poca claridad sobre quién debe desempeñar el rol de seguridad dentro de los equipos de ingeniería, plataforma y desarrollo.
El nuevo dilema de la seguridad digital
Existe una baja madurez en las prácticas de desarrollo seguro (el informe de Synopsys muestra que el 95% del software evaluado es vulnerable), también se nota que la mayoría de las organizaciones utilizan una mezcla de código personalizado, código comercial listo para usar y componentes de código abierto para crear el software, generando continuamente vulnerabilidades en el código/infraestructura, lo que puede comprometer la aplicación y hacer que los hackers tengan acceso (a través de un punto de fallo), para extraer datos, manipular e incluso eliminar la información.
Sumado a esto, el escenario de la “carrera por salir adelante”, impuesto por el negocio, que hace que los equipos de desarrollo, internos o tercerizados, actúen al límite para sostener y evolucionar las aplicaciones e insertar un proceso de seguridad de la información en estos flujos, a menudo se ve como un “cuello de botella”. Adoptar soluciones de seguridad tradicionales puede no ser efectivo, ya que suelen llegar tarde, generando retrabajos o simplemente no adaptándose al ritmo de la empresa y mientras tanto, las vulnerabilidades siguen vivas y con alto potencial de daño.
¿Por qué ya no funcionan los viejos enfoques?
Herramientas que no se integran con el ciclo de CI/CD y/u otras soluciones de gestión de vulnerabilidades. Falta de claridad sobre la madurez del entorno. Priorización basada solo en la criticidad técnica, no en el impacto comercial. Falsos positivos que confunden más de lo que ayudan. Hay varias razones que hacen que la gestión de vulnerabilidades sea un proceso atascado o, peor aún, descuidado.
Aquí es donde entra en juego una nueva forma de abordar el problema.
Una capa de seguridad invisible (y poderosa)
La propuesta es simple: implementar un proceso continuo de Gestión y Resolución de Vulnerabilidades, que sea modular y actúe como una capa de seguridad activa en los equipos de desarrollo, sin bloqueos. Utilizando sus propias herramientas SCAN e integradas con las soluciones de los clientes, con un monitoreo experto, combinado con un enfoque consultivo con un equipo dedicado a la resolución de vulnerabilidades, lo que permite que las áreas de tecnología mantengan el enfoque en el núcleo de la entrega con la certeza de que la seguridad se está cuidando de manera estratégica y continua.
Todo esto se basa en OWASP Top 10 (The OWASP Top 10 enumera las 10 principales preocupaciones de seguridad para las aplicaciones web, este informe se actualiza constantemente y fue preparado por el Open Web Application Security Project (OWASP))., y con entregables que van desde escaneos estructurados (SAST/DAST/SCA/SBOM), pasando por el contexto de la explotación mediante inteligencia artificial y/o hacking ético, hasta orientación sobre prácticas de desarrollo seguras, además, por supuesto, de incorporar modelos de inteligencia artificial para ayudar en el proceso de organización y explotación de vulnerabilidades.
Seguridad que aporta un valor real a la empresa
El enfoque modular le permite actuar de forma escalable y adaptada a la madurez del cliente. Y los resultados son tangibles:
- Aumento de los ingresos al reducir la repetición de trabajos y acelerar el tiempo de comercialización.
- Reducción de costes, al evitar la necesidad de escalar grandes equipos internos.
- Reducción de riesgos, con mitigación de vulnerabilidades en el código, protección de marca y cumplimiento de estándares del mercado.
La gestión de las vulnerabilidades no tiene por qué ser un dolor de cabeza y mucho menos un obstáculo para la innovación. Con el enfoque adecuado, la seguridad se convierte en un motor de negocio silencioso: protege sin fallar, acelera sin abrir brechas. Y esta es precisamente la nueva capa de valor que aportamos a nuestros clientes. Entelgy Security America cuenta con una solución completa para la gestión continua de vulnerabilidades, integrando potentes soluciones SCAN y contando con el servicio experto de nuestros consultores y auditores de seguridad, además de proporcionar equipos de desarrollo e infraestructura especializada para trabajar en la resolución de vulnerabilidades, sin impactar su área de desarrollo actual.
