La creciente dependencia de Internet y las aplicaciones basadas en la web han expuesto a individuos, organizaciones y gobiernos a varias amenazas cibernéticas, haciendo de la seguridad web un aspecto esencial de la ciberseguridad. Sin embargo, a pesar de los esfuerzos para mejorar la seguridad web, todavía existen varios desafíos.
En un taller reciente con líderes de seguridad, tratamos de llegar al fondo de lo que los mantenía despiertos por la noche.
Aquí hay un resumen de sus problemas clave y nuestros consejos sobre cómo abordarlos.
1. El tiempo que se tarda en hacer cambios utilizando procesos obsoletos.
Muchas organizaciones tienen procesos obsoletos que requieren la aprobación de varias partes interesadas antes de que se puedan realizar cambios, lo que lleva a retrasos en la implementación de medidas de seguridad. Este retraso aumenta la exposición de la organización a las amenazas cibernéticas y se complica aún más por el otro obstáculo importante en la seguridad web, determinar quién es el propietario del riesgo, la Junta Directiva, CISO, CRO o CEO. Cada una de estas partes interesadas tiene una perspectiva diferente del riesgo, lo que dificulta llegar a un consenso sobre las decisiones relacionadas con la seguridad. Descubrimos que varias organizaciones con las que hablamos estaban frustradas por el tiempo que tarda en hacer incluso cambios simples, como un cambio de firewall. Tal es la falta de confianza para hacer cambios que tuvieron que iniciar procesos donde los Jefes de Privacidad, Riesgo y Seguridad están todos en una sala aprobando cambios juntos. Esta es claramente una forma ineficiente de operar y probablemente sea el resultado de no disponer de datos suficientemente claros sobre el impacto de los cambios en la producción.Solución
Si los ingenieros tuvieran acceso a datos de producción reales sobre sus cambios y recibieran estos datos en tiempo real, se abordarían muchos de los desafíos enumerados anteriormente. Al combinar el Dual WAAP de Edgio (ilustración abajo), la observabilidad en tiempo real (Core Web Vitals, Errores, Cache Hit) y la propagación de configuración en menos de 60 segundos, los equipos técnicos podrían hacer cambios con mayor confianza en una fracción del tiempo.
2. Desafíos de moverse a la izquierda – más presión sobre los equipos de aplicaciones v. equipos de plataforma / infraestructura
Moverse a la izquierda se refiere al cambio hacia el tratamiento de los problemas de seguridad al principio del ciclo de desarrollo, la idea es que al cambiar a la izquierda, las organizaciones pueden detectar errores antes y obtener aplicaciones en línea más rápido. Esto crea un desafío para los equipos de aplicaciones que deben garantizar la seguridad sin comprometer la funcionalidad de la aplicación. Si bien esto es sin duda algo que todas las organizaciones deben adoptar, está claro que cuando se ejecuta a escala, ahora está ejerciendo una presión adicional sobre los equipos de desarrollo en lugar de ser responsabilidad de los equipos de plataforma/infraestructura, como ocurría hace cinco años. Como los equipos de desarrollo ahora tienen un papel más importante en la protección de las aplicaciones web, es esencial que se les den las herramientas para hacer esto de la manera más eficiente posible para que puedan pasar la mayor parte de su tiempo haciendo lo que quieren hacer… la construcción de aplicaciones web.Solución
Para aligerar la carga de los ingenieros de aplicaciones, con el impulso de cambiar a la izquierda, es vital darles una solución de seguridad que se ajuste a su proceso de DevOps existente. EdgeJS (CDN como código) de Edgio se integra en muchas herramientas, incluidas Jenkins, Github y Gitlab, y proporciona a los equipos técnicos información instantánea sobre los cambios propuestos y cómo esto afectará a los CWV de un sitio web, la tasa de error o la eficiencia de la caché en la producción. Al combinar EdgeJS con WAAP, los ingenieros pueden tener una solución que les permita realizar actualizaciones de configuración en menos de 60 segundos y obtener datos instantáneos sobre la efectividad del cambio.3. Falta de talento / eficiencia del talento
Todo lo que escuchamos de nuestros asistentes indicó que sus prácticas de seguridad actuales son ineficientes, lo que ha exacerbado el desafío general de la industria de que simplemente no hay suficientes profesionales de seguridad de TI para mantenerse al día con un panorama de amenazas en constante evolución y creciente. Según el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información, conocido como ISC2, el número total de personal de ciberseguridad necesario en todo el mundo aumentó a 3,4 millones, un aumento del 26,2 por ciento en 2022. La fatiga de las alertas, las soluciones inconexas y los sistemas difíciles de usar también fueron problemas comunes que afectaron la rapidez con la que los equipos pueden reaccionar cuando se identifican ataques de día cero como Log4j.Solución
La tecnología de Edgio puede ser soportada por un SOC 24x7x365 con ingenieros acreditados por CISSP. Nuestro equipo de SOC está diseñado para eliminar una carga adicional de los equipos técnicos de nuestros clientes, proporcionando un monitoreo y mitigación completos combinados con SLA líderes en la industria. El equipo también está en espera para ofrecer asistencia de emergencia para amenazas de día cero y, en caso de todos los incidentes, proporcionará informes detallados que se pueden utilizar para informar a los ejecutivos.
