Programas de seguridad de aplicaciones se quedan cortos, según Gartner
En la Cumbre de Gestión de Riesgos y Seguridad de Gartner de 2019, los expertos discutieron cómo los esfuerzos de seguridad de las aplicaciones empresariales se quedan cortos y qué se puede hacer al respecto.
El analista Ramon Krikken, de Gartner, cree que elaborar programas de seguridad de aplicaciones eficaces sigue siendo un desafío importante para las empresas.
«Como los actores de amenazas se enfocan en las aplicaciones, es imperativo que las organizaciones reconozcan la importancia de una estrategia de seguridad de la aplicación. Pero muchas organizaciones aún no tienen programas formales de seguridad de aplicaciones», dijo Krikken a los asistentes durante una sesión en la Cumbre de Gestión de Riesgos y Seguridad de Gartner.
Y para aquellos que sí los tienen, solo el 38% cree que sus programas de seguridad de aplicaciones actuales cubren del 76% al 99% de sus aplicaciones, y el 25% dice que su programa actual solo cubre del 1% al 25% de sus aplicaciones, añadió Krikken, citando datos de un reciente encuesta del proveedor de gestión de aplicaciones Micro Focus.
«Nos preocupa cómo la seguridad está luchando para mantenerse al día con la seguridad de las aplicaciones aún débil, tanto en el mundo legado y en este mundo emergente de DevOps, y cosas como contenedores, microservicios», dijo.
Krikken citó varios puntos de datos para resaltar la importancia de la seguridad de la aplicación, incluido el 90% de las aplicaciones activas que tienen un puntaje CVE conocido y el 92% de las aplicaciones web externas que tienen fallas o debilidades de seguridad explotables.
«En esencia, aún es muy fácil, desafortunadamente, para alguien que acaba de lanzar un escaneo, ver un montón de aplicaciones y encontrar al menos un problema que puede aprovechar para hacer algo malo a la aplicación», añadió.
Si bien la adopción de la tecnología de seguridad de las aplicaciones está creciendo, todavía hay «necesidad de un gran progreso» en el área. El presupuesto también es una razón para la lenta adopción de tecnologías de seguridad de aplicaciones dentro de una empresa, agregó Joseph Feiman, director de estrategia de WhiteHat Security.
«Tradicionalmente, su presupuesto de seguridad se distribuye por completo entre la administración de identidades y accesos, la seguridad de la red y la protección de puntos finales. Debido a que esas disciplinas han estado en el mercado durante los últimos 40 a 60 años, su mentalidad está abierta hacia ellas. Aún deben dar este paso adelante y comprender que la tecnología [de seguridad de la aplicación] sirve para proteger a los activos más importantes, que son las aplicaciones».
DevOps y programas de seguridad de aplicaciones
Si bien hoy hay mucho entusiasmo por DevOps, Krikken dijo que no todas las compañías operan como Netflix y despliegan códigos miles de veces todos los días.
El 35% de las organizaciones dicen que han implementado DevOps, pero aún les queda un largo camino por recorrer; en promedio, despliegan código tres veces a la semana, según una encuesta de Micro Focus.
«Estas son realmente buenas noticias para los [profesionales de la seguridad] en el sentido de que, como la seguridad aún está tratando de desarrollar todos estos procesos de seguridad de aplicaciones que funcionan con y también dentro de la secuencia de DevOps, aún tenemos un poco de tiempo para decir: ‹Podemos comenzar por obtener la herramienta y los procesos correctos y luego, de forma continua, podemos preocuparnos por cosas como la velocidad›», dijo Krikken.
Sin embargo, los profesionales de la seguridad deben adaptar sus herramientas y procesos de prueba de seguridad al entorno de los desarrolladores, aconsejó Krikken.
La seguridad de la aplicación debe integrarse en todo el ciclo de vida de una aplicación para obtener los mejores resultados.
«Significa que, desde el momento en que comenzamos a escribir la primera línea de su código, debe probar su seguridad y vulnerabilidad en el código, y luego, cuando compila su aplicación… tiene que probarla antes de desplegarla», dijo. «Incluso después de que se haya desplegado, hay que seguir probándola hasta el final del ciclo de vida de una aplicación».
Los desarrolladores también están mucho más adelantados en cuanto a la adopción de desarrollo de software ágil y DevOps, en comparación con donde se encuentran los procesos de seguridad de una organización.
Según el Informe del Estado de DevOps de 2018 de Puppet y Splunk, solo el 39% de los equipos de seguridad están involucrados en decisiones que influyen fundamentalmente en el aspecto de la arquitectura de la aplicación de una organización y su arquitectura de datos. Esto se debe a que DevSecOps es relativamente difícil de poner en práctica, dijo Krikken.
«Si bien es importante capacitar a los desarrolladores en los aspectos básicos de la codificación segura, un intento de esperar que comprendan todo sobre la seguridad de las aplicaciones es inútil», añadió Krikken.
Feiman estuvo de acuerdo y dijo que los intentos de hacer de los desarrolladores expertos en seguridad de aplicaciones han fallado y lo seguirán haciendo.
Krikken sugirió adoptar un modelo de campeón de seguridad en el que los profesionales de la seguridad intenten esencialmente hacer la seguridad más fácil para los desarrolladores. Eso también ayuda a acelerar el proceso de pruebas de seguridad, agregó.
«La idea de tener un campeón de seguridad es [designar] a alguien que trabajará con el equipo de desarrollo», dijo Krikken. «A menudo, son en realidad desarrolladores que saben sobre seguridad, para ayudar a un proyecto a avanzar y decir: ‹Estas son las cosas de las que debería preocuparse cuando comience el proyecto; aquí está la variedad de riesgos y vulnerabilidades que vamos a considerar cuando estamos creando esta aplicación›, que resulta ser increíblemente útil».
Los profesionales de la seguridad deben esforzarse por hacer que la seguridad sea invisible, fácil o comprensible, porque esa es la «única manera en que podemos hacer que la seguridad de las aplicaciones vaya rápido», concluyó.
En Latix Network Solutions le ayudaremos a tomar conciencia y conocer qué problemas de seguridad son más importantes para su organización. Contamos con un servicio de administración de seguridad y monitoreo que le permitirá poner en marcha su estrategia en breve y orientar sus recursos en labores operativas propias del negocio.
¡Si desea agendar una cita, por favor déjenos sus datos!
Fuente: Tech Target