El software incorrectamente protegido se ubica entre los problemas de causa raíz más importantes en la ciberseguridad. La frecuencia y la gravedad de los ataques en la capa de aplicaciones es mayor que en la capa de red, pero las investigaciones muestran que la seguridad de la red recibe el doble de presupuesto. Según Ponemon Institute, el 18 por ciento de los presupuestos de seguridad de TI se dedican a la seguridad de las aplicaciones, mientras que el 39 por ciento se asigna a la seguridad de la red.
Garantizar la seguridad del software es difícil. A diferencia de la seguridad de la red, donde un solo control como la gestión de parches puede afectar a grandes partes de la infraestructura de una empresa, la seguridad del software difiere en cada aplicación.
Mejorar la seguridad del software implica interactuar directamente con los equipos internos de desarrollo, las partes interesadas del negocio y los proveedores terceros, en lugar de simplemente el equipo de TI de back-end. También significa integrar la seguridad en el ciclo de vida del desarrollo de una manera que no se convierta en un cuello de botella para los ciclos de lanzamiento ágil o ejerce tensión sobre los recursos y presupuestos disponibles.
El crecimiento de las aplicaciones móviles, IoT y basadas en la nube continuará afectando significativamente el panorama de riesgo de la seguridad de las aplicaciones, obligando a las empresas a ampliar su visión de la seguridad. Sin saber cómo presupuestar adecuadamente la seguridad de las aplicaciones, muchas organizaciones confían en escáneres ineficaces e insuficientes que sólo detectan la mitad de las vulnerabilidades conocidas, dejando un gap enorme en cualquier programa de seguridad.
Estos son algunos consejos útiles sobre cómo crear un presupuesto de seguridad de aplicaciones eficaz, que puede escalarse fácilmente para satisfacer tanto la seguridad de las aplicaciones como los objetivos empresariales de una organización ahora y en el futuro.
Invierta en métricas
Las métricas impulsan la acción y permiten cuantificar sus metas. No caiga en la trampa como el 77% de las instituciones financieras que dependen de la cantidad de vulnerabilidades. Construya conjuntos específicos de controles de seguridad para cada aplicación y mida si se implementan. Utilice las pruebas de seguridad al final para validar el control. Invierta en personas, herramientas y procesos que apoyen esto. A falta de métricas relevantes, no tendrá un proceso de gobierno efectivo y no impulsará el cambio en el proceso de desarrollo de su organización.
Educar a su personal
Usted se enfrentará a una fuerte resistencia a su programa de seguridad de aplicaciones en sus primeros años. Invierta en educar a ejecutivos de tecnología, líderes de unidades de negocio y equipos de ingeniería específicamente en desarrollo seguro. Es un requisito previo necesario para obtener la aceptación de otras actividades.
La trampa de tres pruebas
Muchas compañías invierten todo su presupuesto limitado de seguridad de aplicaciones en tres formas de pruebas: SAST, DAST y pruebas de penetración. Mientras que los tres tienen valor, confiar exclusivamente en ellos lo deja muy expuesto. Los datos de Whitehat y Veracode sugieren que la mitad de todas las vulnerabilidades detectadas pasan sin ser mitigadas. Las vulnerabilidades remediadas permanecen en producción por más de 300 días en promedio. Asegúrese de que su programa puede manejar en producción vulnerabilidades en tiempo real. Utilice RASP, WAF o productos de seguridad de red para asegurar parchear su software. Distribuya fondos suficientes para actividades que pueden escalar como: gestión de requisitos de seguridad de software y / o modelado de amenazas con soporte de herramientas.
Contrate a las personas adecuadas
La seguridad de la aplicación es compleja. El despliegue de cualquier proceso o herramienta del mundo real comienza con tener el talento adecuado. Asegúrese de que usted está adecuadamente dotado de los conocimientos necesarios. Emplee capacitación especializada o utilice proveedores o terceros para disminuir sus gaps.
Cambiar el riesgo
El software de terceros es uno de los mayores riesgos para su organización. Partes significativas de su presupuesto de seguridad de la información probablemente vayan a administrar el riesgo de este. Tome medidas para cambiar parte de ese riesgo. Probablemente tenga un proveedor de procesos de gestión de seguridad basado en normas como ISO 27001/2. Es probable que tenga un cierto control de la seguridad de aplicaciones, pero no lo suficiente como para cubrir todas las actividades del ciclo de vida de desarrollo de sistemas (SDLC). Exija a los proveedores, incluidos los proveedores de SaaS, que apliquen un marco de seguridad de software más sólido, como ISO 27034, vBSIMM o SDL de Microsoft.
Puede hacerlo de tres maneras: 1. Requerir que los proveedores de software adopten dicho marco en el contrato; 2. Incluir estos marcos en criterios de RFP (Request for proposal); 3. Solicitud para ver detalles seguros de SDLC del proveedores. Es posible que no tenga suficiente influencia para conseguir que los proveedores cambien sus prácticas por su cuenta, pero si suficientes clientes de los proveedores están haciendo las mismas preguntas, sus equipos de administración de productos comenzarán a realizar cambios.
Fuente: https://www.helpnetsecurity.com/2017/07/05/application-security-budget/