Dino Dai Zovi, Head of Security de Cash App en Square fue el encargado de ofrecer el discurso de apertura en la conferencia de seguridad anual Black Hat que se realizó del 3 al 8 de agosto en Las Vegas.
El contenido de su conferencia giró en torno a la transformación que deben tomar y están tomando los diferentes roles y tareas de seguridad dentro de las empresas y al factor clave que representa la cultura en esta evolución.
Se hizo referencia a los dos grandes cambios culturales que ha habido en la ingeniería de software a lo largo de los últimos 20 años y que han colaborado a la mejora del software y su desarrollo. El primer cambio es la metodología Agile (2001) que permitió romper barreras entre los requerimientos del software, el desarrollo y el testeo, creando equipos de desarrollo independientes con sus propias hojas de ruta y cumpliendo con el ciclo de desarrollo completo. El segundo cambio del que se habló fue en torno al concepto de DevOps (2009), que acercó la mentalidad Agile al entorno de operaciones, incorporando el desarrollo y los equipos que lo llevan a cabo en el proceso completo de despliegue del software que incluye la relación con la infraestructura y herramientas. Eso se traduce en una reducción de costes y un incremento en la productividad y eficiencia.
Teniendo en cuenta estos dos grandes cambios y gracias a su experiencia, Dai Zovi plantea como camino a seguir: mantener una línea similar en cuanto a los procesos de seguridad para crear una cultura que incluya los aspectos y acciones referentes a la seguridad en la misma metodología, como base y no como un concepto externo al desarrollo e implantación.
3 lecciones de transformación
Dai Zovi hizo referencia al software como el substrato universal que aporta valor a las empresas a día de hoy y remarcó que el elemento diferenciador estará directamente vinculado a la entrega del mismo. Para ello mencionó tres lecciones que las compañías deberían seguir para mejorar el proceso de entrega de software.
-
Work backwards from the job
En este punto la idea principal trata sobre la necesidad de tener totalmente claro desde el inicio el objetivo para el cual se está creando o trabajando en algo. De este modo se puede ofrecer un resultado que se adapte realmente a la necesidad y entregarlo de un modo satisfactorio teniendo en cuenta todos los requisitos del proceso.
-
Seek and apply leverage
La búsqueda de una influencia que genere ventajas al respecto del desarrollo habitual puede aportar una optimización en el conjunto del proceso. En esta lección Dai Zovi mencionó el clásico de Arquímedes “Dadme un punto de apoyo y moveré el mundo” y estableciendo una relación con el mismo comentó que la automatización sería ese punto de apoyo que aportaría el valor positivo diferencial necesario para la mejora del conjunto disminuyendo la necesidad de recursos.
-
Culture>>Strategy>>Tactics
En este apartado Dai Zovi quiso hacer hincapié en cómo la cultura es un punto primordial mucho más poderoso que la estrategia o las tácticas en cuanto a la implantación de la seguridad como parte troncal de la organización. Los miembros de los distintos equipos de seguridad deben formar parte activa de otros equipos y procesos implantando la seguridad como parte de estos enriqueciéndolos. Por ejemplo, un equipo de ingenieros de software podría implementar de base medidas de seguridad proactivamente con el soporte del equipo de seguridad en caso de que fuese requerido. Una cultura donde el riesgo sea compartido y preocupación de todos, en el que esta responsabilidad queda implícita en todos los estratos, propicia que la escalabilidad del nivel de seguridad sea mucho más poderosa alcanzando cotas muy costosas de alcanzar de otros modos. De este modo se ofrecerían soluciones para poder conseguir objetivos críticos de negocio.
Un punto importante en cuanto a seguridad es mantener una actitud positiva y abierta con la parte relativa a negocio. “En lugar de decir ‘no’, se debe empezar con un ‘si’ y mostrar el modo en cómo podemos ayudar” dijo Dai Zovi. Se trata de cultivar la empatía, algo que se practica y crece.
Ponte en contacto con A2SECURE y sepa qué podemos hacer por ti.
Fuente: Youtube
Autor: Ferran Cabré