Por Forsyth Alexander Product Marketing de Manager OutSystems
La seguridad está en la mente de todos los profesionales de TI, por lo tanto, no es de extrañar que al evaluar low-code, se pregunten si éste es seguro.
Vamos a responder a esta pregunta y a otras que los responsables de TI tienen sobre la seguridad de low-code y dónde encaja en el estado de la seguridad en el desarrollo de software actual.
Estado de la seguridad en el desarrollo de software
A menos que hayas estado viviendo fuera de la red, no es noticia para ti que la ciberdelincuencia está creciendo y volviéndose más sofisticada a medida que las empresas entran en nuevas etapas de madurez digital.
Las crecientes amenazas cibernéticas han llevado a los CIO y CISO a replantearse la forma en que sus equipos de desarrolladores producen software.
Dos vectores principales han provocado ese cambio: la falta de profesionales de ciberseguridad disponibles en el mercado y una creciente demanda para adoptar prácticas DevSecOps.
Es un buen momento para ser un profesional de la ciberseguridad
Según el Cybersecurity Jobs Report, en 2021 había 3.5 millones de empleos en ciberseguridad sin cubrir, una cifra que no se espera que disminuya antes de 2025.
El aumento de la ciberdelincuencia está impulsando la demanda de expertos en ciberseguridad mucho más rápido de lo que la industria y las universidades pueden proporcionar talento en bruto. Es un buen momento para ser un profesional de la ciberseguridad y un momento terrible si estás intentando contratar a uno.
Gartner aconseja «automatizar las partes aburridas», como las revisiones manuales de registros, para que los miembros calificados del equipo puedan dedicar su tiempo a actividades de valor agregado.
En un informe reciente del grupo de defensa de la ciberseguridad (ISC)2, el uso de la inteligencia y la automatización para tareas manuales de ciberseguridad se identificó como una de las principales inversiones tecnológicas para superar la brecha de talento.
La Organización (ISC)2 también señala que en 2022 en México había un déficit de cerca de 400 mil expertos en ciberseguridad, que es el número de profesionales especializados que se necesitan para atender la creciente demanda.
En 2021 hubo 106 mil vacantes relacionadas con ciberseguridad en México. En un año prácticamente se triplicó la demanda de estos perfiles. Creemos que muchas empresas apenas los están considerando como roles clave, pero ya estamos viendo una guerra de talento por el crecimiento que hemos tenido, sobre todo en el sector Fintech, según Hireline, un portal especializado en talento digital.
DevSecOps: el nuevo chico del barrio
Entre el aumento de los ataques de ransomware, la falta de límites claros para los datos de la organización y el aumento del riesgo con el desarrollo colaborativo de los ciudadanos, vemos una mayor demanda de DevSecOps.
En este enfoque, en lugar de que las pruebas de seguridad sean un esfuerzo heroico al final del ciclo de vida de entrega del software, se incorporan desde el principio.
Esta mentalidad de «cambio a la izquierda» hace que los desarrolladores asuman la responsabilidad de la seguridad desde la recopilación y el análisis de los requisitos hasta el diseño de la arquitectura, la implementación y las pruebas.
Sin embargo, este mundo ideal, en el que la seguridad está integrada en las distintas fases del ciclo de vida de las aplicaciones, es muy distinto de la realidad.
Según el informe The State of DevSecOps de Contrast Security:
- 79% de las organizaciones encuestadas afirma que su equipo de DevOps está sometido a una presión cada vez mayor para acortar los ciclos de lanzamiento.
- 40% de los encuestados afirma que sus equipos a veces o a menudo se saltan procesos de seguridad para cumplir los plazos.
- 62% afirma que los desarrolladores dejan de codificar para corregir vulnerabilidades al menos cada dos o tres días, y el 27% lo hace a diario.
- Casi 8 de cada 10 encuestados afirman que la aplicación media tiene 20 o más vulnerabilidades.
Este informe muestra que los responsables de TI tienen una ardua lucha en materia de ciberseguridad. Por un lado, es difícil contratar desarrolladores con los conocimientos de seguridad necesarios. Por otro, formar al personal existente para que integre las prácticas de seguridad en todo el ciclo de vida requiere tiempo y perseverancia. Evitar que las velocidades de rendimiento y los calendarios de publicación se impongan a las prioridades de seguridad podría incluso limitar la carrera profesional.
El low-code ya está aquí
En una reciente presentación basada en un estudio de clientes, Gartner señalaba la seguridad como uno de los principales obstáculos a la adopción del low-code, junto con la dependencia del proveedor y la deuda técnica. El motivo de estos «temores» tiene más que ver con la percepción que con los hechos.
La razón de este «miedo» tiene que ver con el hecho de que las plataformas low-code abstraen el código, lo que se percibe como un sacrificio de la seguridad, como la prevención de vulnerabilidades, amenazas y errores, en favor de la velocidad. Esto es especialmente cierto cuando hablamos de plataformas de desarrollo que atienden a usuarios empresariales (los llamados desarrolladores civiles).
Otra razón por la que la seguridad es un obstáculo es que muchos en TI tienen la idea de que low-code requiere profesionales de ciberseguridad aún más especializados que DevSecOps. También existe el temor a perder tiempo si hay que formar a equipos enteros de desarrolladores en seguridad low-code mientras se siguen acumulando los atrasos de TI.
Cómo puede ayudar el low-code
Sin embargo, lo cierto es que el low-code tiene cabida en el panorama actual de la seguridad en el desarrollo de software. De hecho, en contra de la opinión popular, el desarrollo tradicional de aplicaciones tampoco tiene siempre en cuenta la seguridad. O alguien la pone en marcha más tarde. En cambio, incluso las plataformas low-code más básicas ofrecen hoy protecciones de seguridad. Pueden comprobar automáticamente las vulnerabilidades y el rendimiento e integrarse con las herramientas de comprobación existentes. Esta automatización reduce los pasos manuales de seguridad y aumenta considerablemente la productividad de los desarrolladores.
Ahora bien, para los casos de uso de seguridad empresarial, las plataformas low-code más básicas podrían no ser suficientes. Si se trata de sectores muy regulados, como el financiero o el sanitario, es necesario asegurarse de que la plataforma de desarrollo cumple determinadas normativas.
Muchas plataformas low-code no lo son. Por ejemplo, con una plataforma de low-code como servicio normal, las actualizaciones que implemente el proveedor podrían no ser coherentes con su política de seguridad. Incluso grandes nombres como Microsoft han tenido sus problemas.
Además, una empresa llena de desarrolladores «civiles» necesita cuidados y alimentación especiales en materia de seguridad. Estos civiles pueden ser personas muy técnicas, pero no tienen la experiencia o los conocimientos de los desarrolladores profesionales para ser sensibles a las responsabilidades de seguridad y a las interdependencias entre aplicaciones.
No ayuda que no todas las plataformas low-code ofrezcan las mismas prestaciones o cubran los mismos casos de uso. Y la seguridad es uno de los principales diferenciadores entre low-code normal y low-code de alto desempeño.