Los analistas Frank Domizio y Paul Swider colaboran ocasionalmente para hablar sobre los desarrolladores ciudadanos (‘citizen developers’) y lo que significan para la seguridad de una empresa.
Los ‘citizen developers’ son desarrolladores no profesionales que utilizan plataformas de código bajo o sin código para crear aplicaciones y soluciones personalizadas. A menudo hacen esto como un medio para automatizar procesos comerciales o crear herramientas personalizadas que satisfagan las necesidades específicas de su organización. Con el auge del desarrollo híbrido, los desarrolladores empresariales y de código bajo han comenzado a formar equipos de proyecto para crear soluciones.
Si bien los citizen developer pueden ser un activo valioso para una organización, también presentan algunos riesgos de seguridad únicos que los directores de seguridad de la información (CISO) deben administrar. Por ejemplo, hoy en día, muchas organizaciones de finanzas, seguros, atención médica y ciencias de la vida recopilan información personal, incluidos datos médicos o clínicos. Un CISO es responsable de asegurar la información de salud protegida (PHI). ¿Qué pasaría si los equipos de bajo código estuvieran involucrados en esta recopilación de datos? Los CISO necesitarían comunicarse y guiar a los equipos de bajo código y confirmar que las herramientas de cumplimiento adecuadas están implementadas para ayudar con las violaciones o fugas de datos.
En este artículo, discutiremos los riesgos que implica tener citizen developers en su entorno y cómo los CISO pueden ayudarlos a tener éxito. También aportaremos algunas ideas sobre la gobernanza y el cumplimiento, las aplicaciones de terceros y los flujos de trabajo que le ayudarán a garantizar el éxito con las soluciones de bajo código.
El riesgo de los desarrolladores ciudadanos
El principal riesgo asociado con los desarrolladores ciudadanos es su falta de capacitación formal en prácticas de codificación segura. Es posible que muchos no tengan experiencia en informática o ingeniería de software y, como tales, es posible que no estén familiarizados con las mejores prácticas para escribir código seguro. Esto puede llevar a que se introduzcan vulnerabilidades en las aplicaciones personalizadas, que pueden ser explotadas por actores malintencionados.
Otro riesgo es que los desarrolladores ciudadanos pueden no estar al tanto de los diversos controles de seguridad que están disponibles para ellos al crear aplicaciones personalizadas. Por ejemplo, es posible que no se den cuenta de la importancia de la implementación adecuada del control de autenticación y autorización, o de la protección de los datos confidenciales en tránsito y en reposo.
Cómo los CISO pueden guiar a los ‘citizen developers’
Los CISO pueden disminuir el riesgo que conllevan los citizen developers brindándoles una sólida orientación. La orientación puede tomar la forma de capacitación sobre prácticas de codificación segura, así como proporcionar acceso a recursos como estándares y pautas de codificación segura.
Además, el CISO puede trabajar con desarrolladores ciudadanos para establecer un ciclo de vida de desarrollo seguro (SDL) para aplicaciones personalizadas. Esto puede implicar el establecimiento de un conjunto de estándares de seguridad que deben seguirse al crear aplicaciones personalizadas, así como brindar orientación sobre cómo implementar aplicaciones de manera segura.
También es importante que el CISO establezca canales de comunicación claros con los desarrolladores ciudadanos para que puedan buscar orientación y hacer preguntas según sea necesario. Esto puede ayudar a garantizar que los citizen developers conozcan las mejores prácticas de seguridad más recientes y que puedan incorporar estas prácticas en sus aplicaciones personalizadas.
Gobernanza y Cumplimiento
Es posible que algunas organizaciones ya hayan desarrollado un equipo responsable de la gobernanza y el cumplimiento de bajo código. A veces, los equipos de cumplimiento y gobierno pueden ser grupos diferentes. Se recomienda enfáticamente que el CISO tenga visibilidad de cualquier esfuerzo existente de cumplimiento y gobierno relacionado con bajo código para garantizar que los esfuerzos del grupo coincidan con el cumplimiento y el gobierno actuales de las políticas de seguridad de la información de la organización en general. Además, estos grupos de gobierno y cumplimiento pueden ayudar a facilitar la comunicación entre el CISO y los desarrolladores de código bajo.
Aplicaciones de terceros
Por lo general, cuando se trata de problemas de cumplimiento en soluciones de bajo código, las organizaciones recurren a herramientas que ayudan con la fuga de datos y el intercambio de datos. Las preocupaciones de cumplimiento pueden incluir la visibilidad tanto de las aplicaciones que crea la organización como de las soluciones de terceros.
Esta es una conversación crítica tanto para los equipos de bajo código como para el CISO, pero a menudo se pasa por alto. Las preguntas que deben hacerse incluyen: ¿Qué aplicaciones de terceros estamos usando para crear soluciones de bajo código y cuáles son las capacidades o los riesgos de estas aplicaciones? ¿Quién puede crear una aplicación? ¿Cuáles son los procesos y herramientas apropiados para SDL? ¿Dónde se deben almacenar los datos y cómo se deben acceder a ellos?
Los planes de gobierno de datos, los centros de excelencia y las herramientas de terceros tienden a abordar algunos de los problemas mencionados anteriormente, pero para garantizar que se implementen sus instrucciones, es necesario que existan canales de comunicación sólidos entre el CISO y los equipos de desarrollo.
Otro caso de uso es cuando la organización compra una solución de código bajo de la industria de un tercero como un paquete SaaS. Las soluciones SaaS de bajo código pueden requerir consultores externos para acceder a datos internos y recursos de red, y el CISO debe tener acceso e información detallada de estos detalles.
El CISO también debe considerar comunicarse con los proveedores que trabajan en soluciones de bajo código. A menudo, los citizen developers serán internos de la organización; sin embargo, algunas organizaciones contratarán a externos para crear soluciones.
Flujo de trabajo de bajo código
Otra consideración para el CISO es que muchas plataformas de bajo código implementan flujos de trabajo y procesos comerciales mediante conectores o adaptadores a otros sistemas. Los flujos de trabajo y los procesos comerciales de bajo código pueden incluir correo electrónico u omnicanal para notificaciones, verificaciones de crédito y procesos bancarios, software de colaboración, bases de datos y más. El CISO debe asegurarse de que haya un proceso para examinar cualquier conector de flujo de trabajo de código bajo, especialmente los conectores de aplicaciones de terceros.
A medida que los equipos de citizen developers crean aplicaciones y se integran con aplicaciones empresariales de línea de negocio, aumenta el riesgo de tiempo de inactividad y el tiempo de inactividad del sistema puede ser un riesgo de seguridad. La comunicación entre el CISO y los equipos es fundamental en estos escenarios. Pregunte a los citizen developers con qué línea central de sistemas comerciales se están integrando o ampliando.
A veces, la comunicación debe ser bidireccional. Muchas plataformas de código bajo se ejecutan principalmente en la nube y se superponen en pilas de tecnología existentes. SAP, Oracle, Microsoft y Salesforce son algunos ejemplos.
Supongamos que una organización utiliza una plataforma de bajo código en capas en la nube de un proveedor. En este caso, el CISO debería considerar implementar un proceso de comunicación para alertar a los desarrolladores sobre cualquier boletín de seguridad del proveedor de la nube subyacente.
Pensamientos finales
No se deje engañar pensando que los activos de bajo código son los únicos activos que requieren vigilancia de seguridad. El CISO debe asegurarse de que cualquier desarrollo, función de base de datos u otro código de back-end creado por desarrolladores se adhiera a las mejores prácticas establecidas.
En general, los citizen developers pueden ser un activo valioso para una organización, pero es importante que el CISO brinde orientación y soporte para garantizar que las aplicaciones personalizadas se desarrollen de manera segura. Al brindar capacitación y recursos, establecer un SDL, implementar la gobernanza y considerar las implicaciones de las relaciones con terceros, el CISO puede ayudar a minimizar los riesgos de seguridad asociados con el desarrollo ciudadano y garantizar que las aplicaciones personalizadas sean un beneficio en lugar de una desventaja.
Autor: Frank Domizio
Artículo original aquí
