Algunas empresas construyen su propio software. Otros subcontratan el desarrollo de software mediante la contratación de contratistas u otras compañías para crear el software que necesitan.
Cuando necesitamos crear un nuevo software personalizado, ¿existe alguna evidencia de que la opción de desarrollar el desarrollo de software interno o externo a terceros tenga un efecto en la seguridad? Si todo lo demás es igual, ¿el desarrollo interno conduce a un software más seguro que la contratación de terceros para realizar el desarrollo del software?
Uno podría suponer que tal vez el desarrollo de software de outsourcing tenga un mayor riesgo de conducir a software inseguro, todo lo demás es igual. Tal vez cuando desarrollas internamente, eres propietario del riesgo, por lo que los desarrolladores están debidamente incentivados para hacerlo lo más seguro posible, pero tal vez cuando subcontratas a un tercero, ya que el tercero no opera el software. y no asume ningún riesgo durante la operación, tal vez el desarrollador externo no esté lo suficientemente incentivado para usar buenas prácticas de desarrollo de seguridad y quizás tenga más probabilidades de terminar con una seguridad deficiente (ya que eso reduce los costos del tercero). ). O, más bien, uno podría preocuparse de que pudiera haber algún efecto como este. ¿Pero es eso realmente lo que pasa? ¿Hay alguna evidencia de una manera u otra? ¿O hay alguna experiencia general o sabiduría convencional de la industria sobre el efecto en la seguridad de la subcontratación frente al desarrollo interno?
Estoy pensando especialmente en una agencia gubernamental que tiene que tomar esta decisión, pero imagino que la pregunta es generalmente aplicable.