Superar los principales desafíos de seguridad del desarrollo con código bajo o sin código impulsado por IA

Plataformas de desarrollo de código bajo han cambiado la forma en que las personas crean soluciones empresariales personalizadas, incluidas aplicaciones, flujos de trabajo y copilotos. Estas herramientas empoderan a los desarrolladores ciudadanos y crean un entorno más ágil para el desarrollo de aplicaciones. Agregar IA a la combinación solo ha mejorado esta capacidad. El hecho de que no haya suficientes personas en una organización que tengan las habilidades (y el tiempo) para crear la cantidad de aplicaciones, automatizaciones, etc., que se necesitan para impulsar la innovación, ha dado lugar a la tendencia low-code/no-code. paradigma. Ahora, sin necesidad de capacitación técnica formal, los desarrolladores ciudadanos pueden aprovechar plataformas fáciles de usar y la IA generativa para crear, innovar e implementar soluciones impulsadas por la IA.

Pero ¿qué tan segura es esta práctica? La realidad es que está introduciendo una serie de nuevos riesgos. Éstas son las buenas noticias: no es necesario elegir entre la seguridad y la eficiencia que proporciona la innovación empresarial.

Un cambio más allá del ámbito tradicional

Los equipos de TI y seguridad están acostumbrados a centrar sus esfuerzos en escanear y buscar vulnerabilidades escritas en código. Se han centrado en asegurarse de que los desarrolladores estén creando software seguro, garantizando que el software sea seguro y luego, una vez que esté en producción, monitoreándolo para detectar desviaciones o cualquier cosa sospechosa después del hecho.

Con la aumento del código bajo y sin código, más personas que nunca están creando aplicaciones y utilizando la automatización para crear aplicaciones, fuera del proceso de desarrollo tradicional. A menudo se trata de empleados con poca o ninguna experiencia en desarrollo de software, y estas aplicaciones se crean fuera del ámbito de seguridad.

Esto crea una situación en la que TI ya no construye todo para la organización y el equipo de seguridad carece de visibilidad. En una organización grande, es posible crear unos cientos de aplicaciones en un año a través del desarrollo profesional; con código bajo o sin código, podría obtener mucho más que eso. Son muchas aplicaciones potenciales que podrían pasar desapercibidas o no supervisadas por los equipos de seguridad.

Una gran cantidad de nuevos riesgos

 Algunas de las posibles preocupaciones de seguridad asociadas con el desarrollo con código bajo o sin código incluyen:

1. No es competencia de TI: como se acaba de mencionar, los desarrolladores ciudadanos trabajan fuera de las líneas de los profesionales de TI, lo que genera una falta de visibilidad y desarrollo de aplicaciones en la sombra. Además, estas herramientas permiten a una cantidad infinita de personas crear aplicaciones y automatizaciones rápidamente, con solo unos pocos clics. Eso significa que hay una cantidad incalculable de aplicaciones creadas a un ritmo vertiginoso por una cantidad incalculable de personas, todo ello sin que TI tenga una visión completa.
2. No ciclo de vida de desarrollo de software (SDLC) – Desarrollar software de esta manera significa que no existe un SDLC, lo que puede generar inconsistencia, confusión y falta de responsabilidad, además de riesgos.
3. Desarrolladores novatos: estas aplicaciones suelen ser creadas por personas con menos habilidades y experiencia técnicas, lo que abre la puerta a errores y amenazas a la seguridad. No necesariamente piensan en las ramificaciones de seguridad o desarrollo como lo haría un desarrollador profesional o alguien con más experiencia técnica. Y si se encuentra una vulnerabilidad en un componente específico que está integrado en una gran cantidad de aplicaciones, tiene el potencial de explotarse en múltiples instancias.
4. Malas prácticas de identidad: la gestión de la identidad también puede ser un problema. Si desea capacitar a un usuario empresarial para que cree una aplicación, lo primero que podría detenerlo es la falta de permisos. A menudo, esto se puede evitar y lo que sucede es que es posible que un usuario utilice la identidad de otra persona. En este caso, no hay forma de saber si han hecho algo mal. Si accede a algo a lo que no está permitido o intenta hacer algo malicioso, la seguridad buscará la identidad del usuario prestado porque no hay forma de distinguir entre los dos.
5. No hay código para escanear: esto provoca una falta de transparencia que puede dificultar la resolución de problemas, la depuración y el análisis de seguridad, así como posibles preocupaciones regulatorias y de cumplimiento.

Todos estos riesgos pueden contribuir a una posible fuga de datos. No importa cómo se construya una aplicación (ya sea con arrastrar y soltar, un mensaje basado en texto o con código), tiene una identidad, tiene acceso a los datos, puede realizar operaciones y necesita comunicarse. con los usuarios. Los datos se mueven, a menudo entre diferentes lugares de la organización; esto puede romper fácilmente los límites o barreras de los datos.

La privacidad de los datos y el cumplimiento también están en juego. Los datos confidenciales se encuentran dentro de estas aplicaciones, pero son manejados por usuarios comerciales que no saben (ni siquiera piensan) cómo almacenarlos adecuadamente. Eso puede generar una serie de problemas adicionales, incluidas violaciones de cumplimiento.

Recuperando visibilidad

Como se mencionó, uno de los Los grandes desafíos con poco o ningún código es que no está bajo el ámbito de TI/seguridad., lo que significa que los datos atraviesan las aplicaciones. No siempre hay una comprensión clara de quién está creando realmente estas aplicaciones y hay una falta general de visibilidad de lo que realmente está sucediendo. Y no todas las organizaciones son plenamente conscientes de lo que está sucediendo. O piensan que el desarrollo ciudadano no está sucediendo en su organización, pero es casi seguro que así sea.

Entonces, ¿cómo pueden los líderes de seguridad obtener control y mitigar el riesgo? El primer paso es investigar las iniciativas de desarrollo ciudadano dentro de su organización, descubrir quién (si es que hay alguien) está liderando estos esfuerzos y conectarse con ellos. No querrás que estos equipos se sientan penalizados u obstaculizados; Como líder de seguridad, su objetivo debe ser apoyar sus esfuerzos pero brindar educación y orientación para hacer que el proceso sea más seguro.

La seguridad debe comenzar con la visibilidad. La clave para esto es crear un inventario de aplicaciones y comprender quién está creando qué. Tener esta información ayudará a garantizar que, si se produce algún tipo de infracción, podrá rastrear los pasos y descubrir qué sucedió.

Establecer un marco para definir cómo es el desarrollo seguro. Esto incluye las políticas y controles técnicos necesarios que garantizarán que los usuarios tomen las decisiones correctas. Incluso los desarrolladores profesionales cometen errores cuando se trata de datos confidenciales; Es aún más difícil controlar esto con los usuarios empresariales. Pero con los controles adecuados, es posible que sea difícil cometer un error.

Hacia un código bajo/sin código más seguro

El proceso tradicional de codificación manual ha obstaculizado la innovación, especialmente en escenarios competitivos de tiempo de comercialización. Con las plataformas actuales de bajo código y sin código, incluso las personas sin experiencia en desarrollo pueden crear soluciones impulsadas por IA. Si bien esto ha agilizado el desarrollo de aplicaciones, también puede poner en peligro la seguridad de las organizaciones. Sin embargo, no tiene por qué ser una elección entre desarrollo ciudadano y seguridad; Los líderes de seguridad pueden asociarse con usuarios empresariales para encontrar un equilibrio para ambos.