sdecoret - stock.adobe.com

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Gartner: Programas de seguridad de aplicaciones se quedan cortos

En la Cumbre de Gestión de Riesgos y Seguridad de Gartner de 2019, los expertos discutieron cómo los esfuerzos de seguridad de las aplicaciones empresariales se quedan cortos y qué se puede hacer al respecto.

National Harbor, Md. - Aunque muchas empresas prestan atención a la seguridad de las aplicaciones, el analista de Gartner, Ramon Krikken, cree que elaborar programas de seguridad de aplicaciones eficaces sigue siendo un desafío importante para las empresas.

Como los actores de amenazas se enfocan cada vez más en las aplicaciones, es imperativo que las organizaciones reconozcan la importancia de una estrategia de seguridad de la aplicación. Pero muchas organizaciones aún no tienen programas formales de seguridad de aplicaciones, dijo Krikken a los asistentes durante una sesión en la Cumbre de Gestión de Riesgos y Seguridad de Gartner.

Y para aquellos que sí los tienen, solo el 38% cree que sus programas de seguridad de aplicaciones actuales cubren del 76% al 99% de sus aplicaciones, y el 25% dice que su programa actual solo cubre del 1% al 25% de sus aplicaciones, dijo Krikken, citando datos de un reciente encuesta del proveedor de gestión de aplicaciones Micro Focus.

«Nos preocupa cómo la seguridad está luchando para mantenerse al día con la seguridad de las aplicaciones aún débil, tanto en el mundo legado y en este mundo emergente de DevOps, y cosas como contenedores, microservicios», dijo.

Para resaltar la importancia de la seguridad de la aplicación, Krikken citó varios puntos de datos, incluido el 90% de las aplicaciones activas que tienen un puntaje CVE conocido y el 92% de las aplicaciones web externas que tienen fallas o debilidades de seguridad explotables.

«En esencia, aún es muy fácil, desafortunadamente, para alguien que acaba de lanzar un escaneo, ver un montón de aplicaciones y encontrar al menos un problema que puede aprovechar para hacer algo malo a la aplicación», dijo.

Cuando se compara con otras áreas como la administración de identidad y acceso, la disciplina de seguridad de la aplicación es bastante nueva en ciberseguridad, dijo a SearchSecurity Joseph Feiman, director de estrategia de WhiteHat Security.

Si bien la adopción de la tecnología de seguridad de las aplicaciones está creciendo, lo que, según él, es una señal positiva, todavía hay «necesidad de un gran progreso» en el área. El presupuesto también es una razón para la lenta adopción de tecnologías de seguridad de aplicaciones dentro de una empresa, agregó Feiman.

«Tradicionalmente, su presupuesto de seguridad se distribuye por completo entre la administración de identidades y accesos, la seguridad de la red y la protección de puntos finales», dijo. «Debido a que esas disciplinas han estado en el mercado durante los últimos 40 a 60 años, su mentalidad está abierta hacia ellas. Aún deben dar este paso adelante y comprender que la tecnología [de seguridad de la aplicación] sirve para proteger a los activos más importantes, que son las aplicaciones».

DevOps y programas de seguridad de aplicaciones

Si bien hoy hay mucho entusiasmo por DevOps, Krikken dijo que no todas las compañías operan como Netflix y despliegan códigos miles de veces todos los días.

Según una encuesta de Micro Focus, el 35% de las organizaciones dijeron que han implementado DevOps, pero aún les queda un largo camino por recorrer; en promedio, despliegan código tres veces a la semana.

«Estas son realmente buenas noticias para los [profesionales de la seguridad] en el sentido de que, como la seguridad aún está tratando de desarrollar todos estos procesos de seguridad de aplicaciones que funcionan con y también dentro de la secuencia de DevOps, aún tenemos un poco de tiempo para decir: ‹Podemos comenzar por obtener la herramienta y los procesos correctos y luego, de forma continua, podemos preocuparnos por cosas como la velocidad›», dijo Krikken.

Pero los profesionales de la seguridad deben adaptar sus herramientas y procesos de prueba de seguridad al entorno de los desarrolladores, aconsejó Krikken.

Para obtener los mejores resultados, dijo Feiman, la seguridad de la aplicación debe integrarse en todo el ciclo de vida de una aplicación.

«Significa que, desde el momento en que comenzamos a escribir la primera línea de su código, debe probar su seguridad y vulnerabilidad en el código, y luego, cuando compila su aplicación... tiene que probarla antes de desplegarla», dijo. «Incluso después de que se haya desplegado, hay que seguir probándola hasta el final del ciclo de vida de una aplicación».

Los desarrolladores también están mucho más adelantados en cuanto a la adopción de desarrollo de software ágil y DevOps, dijo, en comparación con donde se encuentran los procesos de seguridad de una organización.

Según el Informe del Estado de DevOps de 2018 de Puppet y Splunk, solo el 39% de los equipos de seguridad están involucrados en decisiones que influyen fundamentalmente en el aspecto de la arquitectura de la aplicación de una organización y su arquitectura de datos. Esto se debe a que DevSecOps es relativamente difícil de poner en práctica, dijo Krikken.

Si bien es importante capacitar a los desarrolladores en los aspectos básicos de la codificación segura, dijo, un intento de esperar que comprendan todo sobre la seguridad de las aplicaciones es inútil.

Feiman estuvo de acuerdo y dijo que los intentos de hacer de los desarrolladores expertos en seguridad de aplicaciones han fallado y lo seguirán haciendo.

Krikken sugirió adoptar un modelo de campeón de seguridad en el que los profesionales de la seguridad intenten esencialmente hacer la seguridad más fácil para los desarrolladores. Eso también ayuda a acelerar el proceso de pruebas de seguridad, agregó.

«La idea de tener un campeón de seguridad es [designar] a alguien que trabajará con el equipo de desarrollo», dijo Krikken. «A menudo, son en realidad desarrolladores que saben sobre seguridad, para ayudar a un proyecto a avanzar y decir: ‹Estas son las cosas de las que debería preocuparse cuando comience el proyecto; aquí está la variedad de riesgos y vulnerabilidades que vamos a considerar cuando estamos creando esta aplicación›, que resulta ser increíblemente útil».

Los profesionales de la seguridad deben esforzarse por hacer que la seguridad sea invisible, fácil o comprensible, dijo, porque esa es la «única manera en que podemos hacer que la seguridad de las aplicaciones vaya rápido».

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close