He estado en la industria de seguridad de la información durante 15 años. He estado expuesto a muchos proyectos de desarrollo y muchas metodologías de desarrollo desde proyectos ágiles que usan caídas de código diarias hasta métodos en cascada donde los requisitos se prepararon durante un año completo antes de que se escribiera una sola línea de código.
Después de todo lo que he notado, los desarrolladores rara vez piensan en la seguridad por diseño. No fueron entrenados para hacerlo. No se miden para el éxito de seguridad.
Hay muy pocas organizaciones de desarrollo que tengan un proceso SSDLC (ciclo de vida seguro de desarrollo de software). De aquellos que tienen un SSDLC, aún menos están midiendo sus procesos de desarrollo seguro y aún menos están optimizando sus procesos.
Al final del día, todo se reduce al patrocinio ejecutivo y a los imperativos comerciales generales, incluidos los requisitos no funcionales deseados, como la seguridad, el cumplimiento, el acceso, la autenticación, pero lo que es más importante, las restricciones generales de gestión de proyectos como el tiempo de implementación y Niveles de financiación.
- ¿Qué artículos cotidianos necesitan ser rediseñados?
- ¿Cuál es el mejor software para diseño industrial para una pequeña empresa?
- ¿Puede una persona que es realmente mala en diseño convertirse en desarrollador web?
- ¿Cuál es el proceso de diseño más efectivo con agencias?
- ¿Cuál es la mejor manera de diseñar un formulario para una tableta considerando UX?
En las carreras competitivas para llevar productos al mercado, todo se trata de características / funciones. La seguridad siempre es una ocurrencia tardía a menos que se indique explícitamente como un requisito del usuario.
Si el propietario se preocupa, como los de los bancos y las organizaciones de atención médica, gastará el dinero en el desarrollo adecuado, incluida la debida diligencia en torno a la ingeniería de software segura. Si la organización no se preocupa por la seguridad, entonces es evidente para el mundo.
Donde se pone interesante es la visión filosófica y las repercusiones morales. Cuando a las empresas no les importa (Yahoo dice que se robaron 500 millones de cuentas) y los usuarios finales están expuestos como resultado, tenemos un riesgo moral .