El modelado de amenazas es un medio muy eficaz para proteger el software y las aplicaciones, pero muy pocas organizaciones realmente lo hacen. Sin embargo, en el entorno informático y de seguridad actual, el modelado de amenazas es más necesario que nunca.
Los sistemas distribuidos basados en la nube y los equipos de desarrollo de software ágiles y multifuncionales han reemplazado los sistemas monolíticos construidos y operados por equipos aislados. En el camino, el software se ha vuelto mucho más complejo, al igual que las amenazas. Los actores de amenazas han cambiado de táctica para eludir los medios tradicionales de detección. Muchos ataques ya no entregan malware, por ejemplo, sino que se centran en comprometer las credenciales. Y los atacantes pueden sentarse dentro de las redes de la empresa durante meses antes de actuar. de IBM “Costo de un informe de violación de datos” descubrió que las organizaciones tardan un promedio de 287 días en identificar y contener una infracción.
Las empresas reconocen la necesidad. A Estudio de brújula de seguridad 2021 descubrió que el 79 % de las medianas y grandes empresas ven el modelado de amenazas como una prioridad, pero solo el 25 % realiza el modelado durante las primeras fases de diseño. Y solo el 10 % realiza modelado de amenazas en el 90 % de las aplicaciones que desarrolla.
Como industria, debemos hacer que el modelado de amenazas sea una práctica estándar en el desarrollo de software, introducido de manera que los equipos de desarrollo y seguridad puedan trabajar e implementado de una manera que muestre resultados positivos y mejoras con el tiempo. Y todo comienza con una palabra que quizás no escuche mucho en los círculos de seguridad y operaciones de TI: empatía.
Un cambio cultural
Hay una serie de razones para la desconexión entre ver el valor en el modelado de amenazas y realmente hacerlo, incluida la falta de comunicación entre los equipos de seguridad y desarrollo, y una tendencia a renunciar al modelado de amenazas si los esfuerzos iniciales se vuelven confusos y no lo hacen. producir los resultados deseados.
Con demasiada frecuencia, los equipos de seguridad pueden considerar la aplicación de controles de seguridad como una calle de un solo sentido entre ellos y los equipos de desarrollo, simplemente como una cuestión de decirles a los desarrolladores qué hacer. Pero eso es empezar con el pie izquierdo. Las organizaciones deben reconocer que cada equipo tiene habilidades de las que el otro puede aprender. Después de todo, si pones a un profesional de la seguridad en el espacio del desarrollador, estarían perdidos.
Cambiar esta mentalidad requiere un cambio cultural y comienza con ver la empatía como una propuesta de valor. El lado humano de esto debe pasar a primer plano, involucrando a más personas en el enriquecimiento de nuestro conocimiento. Los equipos de seguridad deben apreciar el entorno en el que trabajan los desarrolladores, bajo presión para desarrollar y entregar software rápidamente. Los equipos de desarrollo pueden ayudar a los equipos de seguridad a comprender marcos como contenedores y cómo controlar el acceso, conocimiento que se puede aplicar a las políticas de seguridad.
Cuando los equipos obtienen colaboración de ida y vuelta, están aprendiendo unos de otros. Llevará tiempo llegar a ese punto. Puede comenzar en reuniones o en una integración de procesos, tal vez trabajando con un poco de prueba y error, y eventualmente pasar a la integración de herramientas. Cuando alcanzan el nivel de madurez en el que todos tienen una comprensión básica de los dominios de los demás, pueden pasar a niveles más avanzados de modelado de amenazas, como el modelado de bases de conocimiento y la creación de gráficos de conceptos que se mapean juntos.
Pero necesita un proceso estable, o se vuelve costoso y caótico, lo que resulta en problemas de personas desordenadas.
3 pasos para un mejor modelado de amenazas
Hay tres elementos clave para crear una atmósfera colaborativa.
Orientación: Esto ayuda a los desarrolladores a comprender la importancia del modelado de amenazas. Puede comenzar con la incorporación de nuevos empleados. Independientemente de sus antecedentes y certificaciones, no asuma que saben cómo se maneja la seguridad en su empresa. Asegúrese de que entiendan la cultura.
Colaboración: Una cultura de cooperación y colaboración comienza con el liderazgo de una empresa, con un CISO que tiene la actitud de querer servir a los equipos. Puede tomar tiempo, pero debe modelarse a nivel de liderazgo.
moderna: Los elementos de cooperación se unen trabajando en integraciones, que es un proceso continuo. El objetivo no es la perfección, sino mejorar y evolucionar con el tiempo.
Una clave para hacer que este enfoque funcione es aplicando métricas, específicamente observando los resultados, como "reducir las vulnerabilidades", en lugar de tratar de calificar los detalles de cómo trabajan las personas. Los resultados no son una cuestión de desarrollador o de seguridad, es cosa de todos.
En mi experiencia, descubrí que es útil tener planes claros de 30, 60 y 90 días, que describan el resultado esperado en cada etapa. Los planes deben demostrar un crecimiento incremental y realizarse en colaboración. Si estos resultados deben ser medidos, o terminas a la deriva sin rumbo.
La empatía es la clave
Como comunidad de seguridad, es nuestra responsabilidad ayudar a los desarrolladores a adoptar el modelado de amenazas. No somos nosotros contra ellos. Necesitamos que piensen en la seguridad y el modelado de amenazas como parte de un enfoque integrado que evoluciona con el tiempo.
La empatía como técnica de gestión puede ayudar a crear ese entorno. Algunas personas pueden pensar que la empatía significa que no hay responsabilidad, que comprender la posición y los pensamientos de alguien es algo suave, pero en realidad produce el resultado opuesto. Desarrolla la colaboración que tan desesperadamente necesitamos.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
