Generalmente, la seguridad en el desarrollo software no está enfocada desde una perspectiva holística. La razón raíz es que en la mayoría de los casos la seguridad se establece al final del ciclo del proyecto como consecuencia de la aparición de una nueva amenaza o de un nuevo riesgo. Por tanto, estas urgencias desembocan en la búsqueda de soluciones que no atienden al sistema en su conjunto (interacción en entre sistemas).

Si tenemos en cuenta que estudios realizados apuntan a que más del 70% de las vulnerabilidades de seguridad existentes provienen de la capa de aplicaciones, es un motivo más que suficiente para preocuparse y ponerse manos a la obra.

Vuelvo a hacer referencia en este medio a mi buen amigo Miguel García, autor del Blog Gobernanza de TI quien, una vez más, nos obsequia con un excelente artículo  en el que describe claramente los principales conceptos de la Gobernanza de TI, y la aproximación que mediante COBIT puede hacerse a la misma.

Como le indicaba hace unos minutos en un comentario al artículo, creo que uno de los grandes retos que tenemos por delante que a la vez es una cuestión común en determinados clientes, es el de intentar acercar el concepto de Gobernanza de TI a organizaciones en los que realmente no existe un Gobierno como tal (clamor de multitudes! ;)), o al menos no uno con el nivel de madurez (no personal, sino organizativa y “metodológica”) suficiente para asumir un concepto tan interesante (y tan importante para ellos, … aunque no lo sepan).