3. El equipamiento del personal

El tercer paso de este proceso es equipar a los desarrolladores con las herramientas y tecnologías que facilitan la creación de aplicaciones seguras desde el principio. Sin embargo, Chelf advierte que algunas de estas herramientas pueden retardar el proceso, algo que los gerentes de proyectos siempre encuentran desagradable.

“No le quepa la menor duda, la incorporación de seguridad en cualquier desarrollo de software puede frenar sus esfuerzos”, dijo Chelf. Afortunadamente, existen herramientas que proporcionan ayuda con la verificación, validación y seguridad que comprueban la integridad del software a lo largo del proceso de desarrollo.

“Recomiendo herramientas diseñadas para el desarrollador”, dijo Chelf. “Existen herramientas analíticas para el equipo de auditoría, pero programas de seguridad para los desarrolladores”.

Sin embargo, Bidstrup de Microsoft destaca la importancia de las herramientas analíticas para minimizar los riesgos de vulnerabilidades. Por otra parte, Hoist de PreEmptive, señala que las organizaciones deben implementar prácticas, marcos, tecnologías, arquitecturas y proveedores estándar para asegurar la consistencia en toda la empresa.

4. Pruebe y pruébelo otra vez

El cuarto paso es la implementación de técnicas de pruebas de seguridad. En el pasado, la verificación, asegurando que el programa funciona, y la validación, asegurando que el programa hace lo que debe hacer, eran las tareas principales del desarrollador, dijo Chelf.

“Sin embargo, la diferencia entre verificación/validación y seguridad es que es mucho más difícil hacer las pruebas de seguridad”, explica Chelf. “Probando el funcionamiento correcto de un programa es una cosa, probando qué vulnerabilidad se podría explotar es mucho más difícil. El primero se realiza a través de observación, el segundo intenta superar a un adversario a menudo invisible”.

Cuando se trata de superar a un adversario, ha de verificar en qué punto falla el sistema y cómo falla exactamente porque un hacker intentará todas las maneras posibles de explotar una debilidad en el sistema.

“La verdad es que incluso cuando su aplicación falla de manera segura el 99,999 por ciento de las veces, un hacker puede que sea capaz de encontrar esa vía de entrada con un 0,001 por ciento de posibilidad. Y esto hace casi imposible cubrir todas las bases”, dijo Chelf.

5. Monitorice el proceso

Finalmente, el cumplimiento de las políticas de seguridad ha de monitorizarse constantemente. “Esta monitorización ha de realizarse mediante una infraestructura automatizada”, dijo Weider. “A una hora predeterminada, la infraestructura debe recuperar las últimas modificaciones realizadas en los códigos y determinar si cumplen con las políticas de seguridad. Si existe un problema, se ha de notificar el desarrollador que introdujo la modificación en su mismo IDE para que pueda ser solucionado lo antes posible”.

Este paso también incluye la revisión de los códigos de seguridad y el mantenimiento de vigilancia durante las distintas fases de producción.  “Ningún proyecto, por bien diseñado que sea, permanecerá el cien por cien seguro el cien por cien de las veces”, según Andrew Zaikin, especialista de seguridad y director de proyectos de Exigen Services.