DNM+ Online
dotnetmania 2.0
Microsoft Security Development Lifecycle (SDL). Gestión del talento y formación
En artículos anteriores, hemos introducido y analizado el Security Development Lifecycle (SDL) y sus tres variantes (SDL, SDL-LOB y SDL-Agile) para entender en qué consiste, sus fases, complicaciones, y sobre todo sus beneficios para la organización. En este artículo y sucesivos iremos profundizando en las distintas fases del SDL; en este número, concretamente, trataremos la formación y la gestión del talento, ya que de nada sirve intentar implantar un SDL si no contamos con las personas adecuadas.

Por desgracia, demasiadas organizaciones no ofrecen ni entienden el valor de la formación continua, cuando para casi todas las organizaciones las personas son su activo más valioso. Con el uso de las nuevas tecnologías, la formación se ha abaratado mucho, por lo que el coste nunca debería ser una excusa; como todos sabemos, este campo está en constante evolución, y las organizaciones que quieran ser eficientes necesitan estar a la última en las nuevas tecnologías y tendencias.

Es frecuente que en las colaboraciones de INFOSEC con organizaciones alrededor del mundo de todos los tamaños interesadas en conocer e implantar un SDL nos encontremos con que éstas no cuentan con las personas adecuadas (por no hablar del plan de formación, en demasiadas ocasiones inexistente); por lo que es interesante tratar estos puntos.

Talento

Sobre la seguridad de redes y sistemas existe mucha literatura, formación y productos, pero la seguridad en aplicaciones es un tema reciente desconocido para muchos, sobre el que hay poca literatura y escasa formación profesional. Por tanto, las organizaciones deben hacer un mayor esfuerzo para crear, atraer y mantener el talento en la compañía (in-house).

Cuando analizamos cualquier estudio anual sobre seguridad, la inseguridad en las aplicaciones suele ser el mayor problema en las organizaciones, porque este apartado ya no está controlado por la gente de seguridad y/o TI, sino que muchos otros departamentos están involucrados en él, como por ejemplo Desarrollo, Recursos Humanos y Marketing.

En caso de que desarrollemos soluciones a medida en la organización para uso interno, o se creen productos para su comercialización, no solo debemos desarrollarlos seguros, sino que también es necesaria una implantación segura de estas aplicaciones. De nada sirve desarrollar soluciones seguras cuando se implantan incorrectamente o la infraestructura por debajo es insegura. En el mundo de la seguridad solemos hablar del “todo o nada”.

Nuestro departamento de seguridad debe contar con diferentes perfiles que comprendan la seguridad de redes y sistemas y la seguridad de aplicaciones; pero también otros departamentos deben tener nociones básicas o avanzadas, en función de las necesidades, para poder proteger la información de la organización.

En la tabla 1 podemos encontrar algunos de los modelos más populares que las organizaciones utilizan para la gestión de sus departamentos de seguridad:

  • El modelo de seguridad completo es aquel en el cual todo el equipo pertenece a la organización. Lógicamente, esto supone un coste más elevado de personal, pero también permite al departamento tomar decisiones y actuar con más rapidez, así como tener un conocimiento y visión de la organización.
  • En el modelo mixto, la organización cuenta con un equipo interno y diversos recursos externos de uno o varios proveedores de seguridad, y la jerarquía y los roles son diversos. El coste de personal baja considerablemente, pero pueden existir problemas de comunicación entre los diferentes recursos.
  • En el modelo mínimo, la organización cuenta con alguno o incluso ningún empleado, y toda la seguridad está delegada en uno o varios proveedores de seguridad. El coste de personal es muy bajo o nulo; pero por lo general ésta es una mala práctica, ya que la organización no cuenta con ningún talento propio que lidere las iniciativas, el proveedor puede tener una visión limitada de las necesidades de la organización, e incluso podría dejar de dar el servicio.

Tabla 1. Gestión de la seguridad TI en las organizaciones

El modelo mínimo de gestión de la seguridad está basado en la posibilidad del outsourcing, donde una organización delega en otra una o parte de todos sus servicios TI. Mi opinión es que las organizaciones deberían seguir el modelo completo; pero si el coste es un problema, también se puede optar por el modelo mixto. El modelo mínimo tiene más inconvenientes que ventajas, y ninguna organización debería establecerlo si la seguridad es una prioridad.

Por lo general, las organizaciones tienden a buscar el talento fuera de la organización, lo que eleva los costes de personal cuando muchas veces no es necesario. Una buena estrategia es contratar varios expertos en la materia como personal y luego formar personal interno para obtener un buen equipo capaz de identificar, gestionar y minimizar los riesgos. Por ejemplo, algunos programadores podrían ser buenos expertos en seguridad de aplicaciones, ya que conocen la materia; sólo necesitarían una base de conocimientos en seguridad.

Para el éxito de la creación de un equipo de seguridad efectivo, la organización debe conocer el talento del que dispone, contratarlo si fuera necesario y/o formarlo in-house.

Formación

Como ya se mencionó anteriormente, existe escasa literatura y formación sobre esta especialidad, pero en los últimos años la situación ha ido cambiando, y ahora podemos encontrar algunos certificados, libros y cursos, que analizaremos a continuación.

En la tabla 2 podemos encontrar algunos recursos sobre formación en seguridad de aplicaciones recomendables para cualquier organización (aunque la mayoría del material disponible está en inglés).

Tabla 2. Formación disponible en seguridad de aplicaciones

Como se puede observar, existe una interesante variedad de posibilidades para formar a los recursos involucrados en el SDL. Nosotros entendemos que no basta con que las personas técnicas, generalmente TI o seguridad, tengan estos conocimientos; sino que en muchas ocasiones es vital que toda la organización tenga unos conocimientos sobre la materia; la profundidad dependerá del rol de cada persona.

En nuestro artículo “Microsoft Security Development Lifecycle (SDL). Los 3 marcos de desarrollo seguro”, publicado en el número anterior (83) de dNM, ya recomendamos diferentes formaciones en función de los perfiles, que se aconseja al lector que repase. El SDL requiere que todas las personas hablen un lenguaje común y que cada uno sepa las acciones de seguridad que tiene que realizar.

En la tabla 3, el lector puede ver algunos cursos ofrecidos por el INFOSEC de Microsoft tanto de forma interna como externa. Internamente en Microsoft, estos cursos son ofrecidos en formato presencial varias veces al año; en formato online, están disponibles en cualquier momento (autoaprendizaje). Estos cursos son revisados de forma anual, para añadirles contenido nuevo y eliminar contenido obsoleto.

Tabla 3. Formación SDL ofrecida por el INFOSEC

Gracias a los avances tecnológicos, las organizaciones pueden ofrecer formación continua de forma online, abaratando los costes y llegando a más personas. Sin esta formación continua y anual es imposible contar con las personas adecuadas en la organización, ya que cada año aparecen nuevos riesgos de seguridad que se deben afrontar.

El personal de seguridad debe tener conocimientos profundos en SDL, tecnologías y herramientas, auditoría de código y pruebas de seguridad, como mínimo. TI debe conocer cómo desplegar las aplicaciones de forma segura, Desarrollo cómo programar las aplicaciones de forma segura, y aquellos departamentos que utilicen aplicaciones deben hacerlo de forma correcta y segura. Como ya hemos mencionado varias veces, la seguridad es responsabilidad de todos en la organización.

Conclusiones

Como el lector habrá podido apreciar, soy un gran defensor de retener el talento y ofrecer formación constante en la organización. Demasiadas organizaciones creen que sus problemas de seguridad se solucionan con grandes inversiones en tecnología de seguridad. Como ya he mencionado antes, si no se dispone del talento de nada sirve la tecnología, porque todo el mundo desconoce cómo operar estas tecnologías y todos sabemos que nada funciona de forma autónoma sin supervisión.

La seguridad de aplicaciones está en constante evolución y por ello requiere de un gran esfuerzo de constante formación para enfrentarse a las nuevas amenazas, y es este afán de constante conocimiento lo que la convierte en un tema muy atractivo.

En el próximo artículo continuaremos con la siguiente fase del SDL y entraremos en cómo analizar la seguridad de una aplicación a nivel de diseño.

blog comments powered by Disqus
autor
referencias