El 85 por ciento de las aplicaciones tiene alguna brecha de seguridad
La velocidad con la que se están produciendo numerosos avances tecnológicos obliga a las empresas a implementar un software rápido y de calidad con el que diferenciarse de sus competidores, lo que se convierte en una carrera a contrarreloj para mantener sus aplicaciones al día. Pero, ¿hasta qué punto se tiene en cuenta la seguridad en un entorno que avanza a un ritmo tan vertiginoso?
Esta es precisamente la pregunta que Veracode, compañía líder en ayudar a las organizaciones a dotar de seguridad al software, se ha hecho a la hora de examinar los resultados de su último estudio, a nivel global, sobre el Estado de la seguridad del software. Volumen 9 (SOSS). Una investigación que, en esta ocasión, se ha centrado en analizar la rapidez con la que las compañías solucionan una brecha en la seguridad del software una vez detectada, y de la que se extraen las siguientes conclusiones.
• No hay una fórmula mágica para todos los problemas. En todos los sectores, las organizaciones están lidiando con un volumen masivo de fallos abiertos que deben abordarse, y están mostrando una mayor capacidad de reacción. Según el informe, el 69% de las brechas descubiertas se resolvieron o mitigaron, un aumento de casi el 12% desde el informe anterior. Esto muestra que las organizaciones están ganando destreza para abordar las nuevas vulnerabilidades, que los hackers a menudo tratan de explotar.
A pesar de este progreso, la cantidad de aplicaciones vulnerables sigue siendo asombrosamente alta. Más del 85% de las aplicaciones presenta al menos un fallo en su seguridad, que en el caso de más del 13% es una amenaza crítica. Aunque no existe una fórmula mágica para solucionarlas todas, hay algunos métodos que pueden ayudar a los desarrolladores de software a reducir el tiempo que lleva el proceso de minimizar el riesgo.
• La monitorización de la seguridad durante todo el proceso de desarrollo es efectiva. La mentalidad de DevSecOps, con la que se introduce la seguridad en todas las etapas del desarrollo de un nuevo software, tiende a incorporar un análisis de seguridad más frecuente, correcciones incrementales y porcentajes más elevados de cierres de brechas de seguridad en el ciclo de vida del desarrollo de software. Una de las principales conclusiones del estudio apunta en esta dirección al establecer que existe una alta correlación entre una monitorización constante y una reducción de los riesgos a largo plazo, lo que prueba la eficacia de la metodología DevSecOps.
“Las organizaciones preocupadas por la seguridad han reconocido que integrar la seguridad en el ciclo del desarrollo del software es esencial para lograr los principios DevSecOps de equilibrio, velocidad, flexibilidad y gestión de riesgos. Hasta ahora, había sido difícil identificar sus beneficios, pero este último informe proporciona pruebas definitivas sobre su eficacia", asegura Chris Eng, vicepresidente de investigación, CA Veracode. "Estas mejoras incrementales aportan con el tiempo una ventaja competitiva y reducen el riesgo de vulnerabilidades en la seguridad de los productos", añade.
• Más del 70% de las brechas de seguridad no se han solucionado un mes después de detectarse el problema. Además, casi el 55% sigue presente después de tres meses, y uno de cada cuatro fallos de alto o muy alto riesgo no se ha solucionado tras 290 días. El tiempo que tardan en gestionarse también está íntimamente ligado con la periodicidad que se producen los análisis de las aplicaciones, pudiendo multiplicarse por 3,5 en las aplicaciones que solo se analizan de 1 a 3 veces al año, en comparación las que lo hacen de entre 2 a 12 veces al año.
El estudio, de carácter global, incluye también algunos datos desglosados por regiones. Estos confirman, por ejemplo, que las compañías de la zona Asia Pacífico son las más rápidas en remediar vulnerabilidades, al ser capaces de cerrar el 25% de los fallos de seguridad en aproximadamente 8 días, seguidas por la región de América, con 22 días, y EMEA con 28. Estas diferencias se acentúan aún más cuando hablamos de cerrar estas vulnerabilidades, ya que las organizaciones de EMEA tardan más del doble que la media en cerrar el 75% de las que tienen abiertas e incluso un 25% de ellas persiste más de 2 años y medio después de ser descubiertas.