En la actualidad las empresas están tomando cada vez mas conciencia en el riesgo que existe con las aplicaciones expuestas a Internet y adicionalmente se está mirando con mas rigurosidad la utilización de software de terceros y de código abierto.
Cuando se le consultó a 12.000 profesionales responsables de seguridad en las empresas, sobre la principal amenaza para su organización, el 69% nombró las vulnerabilidades aplicativas, incluyendo software propio o de terceros.
El foco de los programas de seguridad tradicional de las empresas, estaba basado años atrás, fundamentalmente en monitoreo de redes, control de acceso, actualización de sistemas, lo que hoy está cambiando radicalmente y está siendo complementado con programas de seguridad que abordan la seguridad aplicativa desde el inicio del desarrollo en forma exhaustiva y adicionando la gestión de riesgos que significa utilizar software de terceros, sean estos comerciales o código abierto.
En la actualidad las instituciones con un mayor nivel de madurez en sus programas de seguridad, están considerando la clasificación de este riesgo como uno de los mas altos en sus controles y evaluaciones y más aun, las más avanzadas ya no están diferenciando en el manejo del riesgo entre el software propio o el de terceros y el foco está puesto en la interacción de todos ellos.
Las estrategias para ejecutar las pruebas, por lo general se definen por la clasificación de riesgo que las instituciones asignen al tipo de aplicaciones, eligiendo todas o algunas de las citadas que son las más tradicionales y que no les permite identificar un alto porcentaje de vulnerabilidades en su código propio o de terceros, dado que requieren de mucha manualidad y de expertos.
Las estrategias más comunes usadas por las organizaciones con programas de seguridad tradicionales es una combinación de procesos manuales.
Pruebas prácticas de funcionalidad y Q&A
Auditorías
Requerimiento de certificaciones independientes.
Revisión manual de código
Ahora bien, las instituciones con programas de seguridad mas avanzadas están integrando a sus metodologías de verificación de vulnerabilidades, herramientas que permiten contar con procesos bastante mas robustos basadas en:
Pruebas dinámicas automáticas
Pruebas estáticas automáticas
Pruebas de penetración manual (En algunos casos)
Revisión de código automatizado contra normas (Owasp)
De esta forma y con este tipo de soluciones disponibles, las instituciones pueden integrar a sus procesos de desarrollo controles que les permiten verificar el nivel de vulnerabilidades a la velocidad que el negocio lo requiere, disminuyendo en gran medida el nivel de riesgo que representa el código propio y de tercero expuesto a internet.
Conclusión
Hoy las instituciones son casas productoras de soluciones aplicativas, pidiendo respuesta de las tecnologías, que requieren satisfacer las necesidades del negocio con innovación, velocidad pero con gran seguridad en sus aplicaciones, integrando software propio de terceros y abierto.
Aun existe la antigua visión de enfrentar este desafío con soluciones “in house”, lo cual es caro, en muchos casos inseguro y difícil de administrar.
Es necesario, independiente del tamaño de la institución, la creación de un programa de seguridad aplicacional moderno y avanzado que responda a los riesgos actuales y a las necesidades del negocio. Esto es posible de lograr, seleccionando las soluciones adecuadas que faciliten la generación de programas de seguridad aplicativas y que permitan una administración simple, lo cual reducirá el riesgo de estas y permitirá responder a la innovación y a los cambios que requiere el negocio.
Las aplicaciones contienen hoy código propio de terceros y abierto, es necesario controlarlo en forma global. El código de terceros no es inseguro por si solo.
Algunas datos estadísticos:
Según un informe de investigación de Verizon, los ataques a las aplicaciones web siguen siendo uno de los patrones más frecuentes confirmados y representan hasta un 35% de los incidentes de seguridad.
De este gráfico, se puede concluir que el foco de seguridad aplicativa debe considerar la concurrencia de todos los tipos y que el riesgo no se centra fundamentalmente en código de tercero o abierto.
Autor: Cristian Fuentes – Senior Security Consultant