Cada vez existe más presión para entregar software rápido a los usuarios, y a la vez, menos recursos asignados al aseguramiento de la seguridad y la calidad del mismo. En este escenario, las organizaciones pueden encontrar una ventaja competitiva al enfocar más su atención a la seguridad del software, por lo que asegurarse de que las pruebas se realicen con altos estándares y no dejarlas justo para el final del proceso, debería ser más prominente en las discusiones sobre el desarrollo y la entrega de productos y servicios, explica Rafael Álvarez, CTO de Fluid Attacks.
Las empresas deben considerar dar más atención a su propio software a nivel estratégico, y tener entre sus prioridades corregir sus defectos. El CTO de Fluid Attack menciona tres pasos que se pueden realizar para prevenir accidentes:
- Hacer preguntas simples: Plantearse interrogantes sencillos como: “¿Cuál es el porcentaje de vulnerabilidades remediadas en el sistema recientemente lanzado? O ¿Cuál es la densidad de vulnerabilidades de los diferentes productos?”, pueden hacer que una organización sea proactiva con la gestión de la seguridaddel software.
Explica la importancia de enfocar la atención en los procesos de calidad. Además, los ejecutivos deben solicitar el estado de defectos pocos meses después de lanzar un producto de software, con la intención de prevenir incidentes que puedan tener graves consecuencias y dañar la reputación de una organización.
- Sistema de control de remediación: Debe existir un sistema de control de remediación neutral, independiente y no manipulable, que contenga el estado real de las vulnerabilidades abiertas y cerradas de un sistema;aunque en muchos casos no todos los CEO se encuentran en condiciones de evaluarlo.
- Seguridad Psicológica: Es un estado donde la gente no tiene miedo a hablar cuando es necesario y aceptar sus errores. Los equipos se sienten psicológicamente seguros cuando no esperan represalias por compartir asuntos incómodos pero esenciales con sus compañeros y jefes, como señalar algo que podría poner en peligro un proyecto justo antes de su lanzamiento.
Para que los defectos de software y las vulnerabilidades de seguridad sean un tema clave de liderazgo, las empresas deben crear un entorno seguro en el que los equipos técnicos no duden en revelar qué está o podría estar mal. Si la gente piensa que hablar en voz alta los amenazará, estarán peligrosamente silenciados.