“LOS DESARROLLADORES NECESITAN SABER QUE VERACODE NO ESPERA QUE SEAN EXPERTOS EN SEGURIDAD”

En su reciente visita a las oficinas de Compunet, Caitlin Johanson, Principal Solution Architect of Veracode se refirió a la buena acogida que ha tenido la marca con sus partner además de conversar sobre las ventajas de los productos.

Santiago, febrero de 2017.- Compunet y Veracode han generado una alianza difícil de disolver, pues ambas firmas se caracterizan por entregar servicios de alta calidad en materias diversas de la seguridad de datos en las empresas.

Y esto quedó demostrado en la reciente visita que hicieron a las oficinas de la firma nacional, los ejecutivos de Veracode quienes en sendas reuniones reafirmaron el trabajo mancomunado en la generación de buenas incidencias en materias tan diversas como la creación de nuevas estrategias, tratamiento de la seguridad y vulnerabilidades en las empresas locales, posicionamiento de la marca, y la relación entre proveedores y distribuidores de los productos Veracode.

Consultada sobre diferentes aspectos del trabajo, la ejecutiva de Veracode fue enfática en señalar que una buena implementación de productos antimalware pueden combatir el “talón de Aquiles” en una empresa

“En Veracode partimos de la primicia de que no sabes lo que no sabes… Por esto, el temor de lo que las vulnerabilidades y defectos de sus aplicaciones podrían tener nunca debe paralizar a una organización de ponerse en la cima de ella. La seguridad es un viaje, no un destino, y hay algunos vendedores increíbles por ahí que pueden facilitar el proceso de inicio, maduración o incluso mantenimiento de un programa appsec.”

¿Por qué es tan importante cuidar nuestras aplicaciones?

Cada empresa es una pequeña empresa de software que se basa en la innovación para ayudar a impulsar o acelerar ese negocio. El hecho de que 4 de las 5 aplicaciones web fallan en el Top Ten de OWASP en la primera evaluación es bastante aterrador.

¿Cómo se vislumbra el recorrido de la seguridad en la red?

La seguridad de la red ha recorrido un largo camino y ciertamente hemos mejorado, pero el desarrollo de software seguro todavía no es una práctica común y los atacantes lo saben. Si la opción de un ladrón para entrar en su organización eran un montón de puertas cerradas y controladas por cámaras o una puerta sin cerradura y sin cámaras, es bastante claro que con sólo el conocimiento de cómo girar un mando, podría llegar a nuestra información. La metáfora es entrar por la puerta sin tener cerradura.

¿Crees que hay conciencia de lo importante de fortalecer los sistemas de seguridad en la empresa?

La conciencia es una palabra apropiada para usar aquí, porque debe haber más acción. Por lo tanto, sí, hay “conciencia” de lo importante que es para fortalecer sus sistemas de seguridad, pero la sala de reuniones de la conversación es demasiado tarde en mi opinión. Usted será atacado.

Todo el mundo lo sabe, pero lo que no sabes es cuándo, cómo o qué mal te afectará tienes que estar listo. No tiene que saber cada pieza de cómo implementar o gobernar la seguridad dentro de su organización, pero sí necesita apoyarse en proveedores que pueden actuar como extensiones de su programa de seguridad de aplicaciones.

¿Podrías explicar qué significa la seguridad de la aplicación a Veracode?

Nunca verás un titular de la brecha que no sucedió. Queremos que el programa de seguridad de aplicaciones de una organización sea alimentado por Veracode, lo que significa que nos integramos en el entorno que existía antes de que Veracode fuera un ideal.

¿Cuáles son las alternativas que ofrece Veracode?

Las alternativas son variadas. Trabajamos ya sea por el código que escriba o el código que compra, todo lo que se envía o despliega es seguro, e incluso si el código no cambia, el panorama de amenazas lo hará, de modo que mantendrá los tiempos hasta que la aplicación desaprobara.

Los desarrolladores necesitan saber que Veracode no espera que sean expertos en seguridad y para los expertos en seguridad, no esperamos que sean desarrolladores. Veracode es donde todos se convierten en amigos y la seguridad es un negocio como siempre.

¿Podría darnos algunos consejos sobre el desarrollo seguro?

Como se sugirió anteriormente, es importante que un desarrollador pueda consumir resultados dentro de su propio entorno. Así que lo primero que voy a decir aquí es trabajar con un proveedor de seguridad de aplicaciones que se integra perfectamente con el entorno que ya tiene o quiere implementar. La sabiduría es un resultado del fracaso, así que nuevamente, no se trata de que un desarrollador sea un experto en seguridad, sino de redefinir las prácticas de codificación y lo que QA significa para todos. También, dejemos de decir que la seguridad es tan cara. Claro, cuesta dinero, pero siempre va a ser más barato que una brecha. Para los desarrolladores que están leyendo esto, les recomendaría que actualicen sus bibliotecas. Esto es algo que informamos hace un tiempo, incluso antes de que los resultados estáticos vuelvan.

Hay tantos consejos de los que quiero hablar aquí, pero siempre estoy preparada para este tipo de conversación si alguien quiere llegar directamente.