miércoles, 29 de noviembre de 2017

Una base sólida

Todo aquel interesado en arquitectura, sabrá que para que una estructura funcione unos buenos cimientos son indispensables. Estudiada durante siglos, la construcción de Venecia es un hecho insólito que demuestra que con unas bases sólidas se puede levantar una ciudad encima del mismísimo mar. El secreto de la longevidad de las bases de madera de Venecia radica en el hecho de que están sumergidas bajo el agua, fuera del alcance de los microorganismos que provocan el desgaste de la madera. Además, el flujo constante de agua salada alrededor y a través de la madera, la petrifica con el tiempo, convirtiéndola en una estructura endurecida, similar a la piedra.


Al igual que pasa en la arquitectura, las empresas también necesitan una base sólida sobre la que construir su estrategia de seguridad. Y unos de los encargados de sentar estos cimientos son los desarrolladores. Hay varias medidas que los propios desarrolladores pueden tomar para acelerar la adopción de mejores prácticas de seguridad por parte de sus organizaciones, o eso desvela un reciente análisis realizado por el proveedor de seguridad Veracode. Este estudio incluye los datos provenientes del escaneo de 400.000 aplicaciones escritas en Java, Net, Android, iOS, PHP y varios otros lenguajes de programación y sistemas operativos de organizaciones de todos los tamaños.  

Una de las medidas que se desvelan a través de este artículo es que los desarrolladores tienen la opción de cambiar su postura a la hora de escribir código, una visión un poco más atacante y menos pasiva supondría un nuevo punto de partida a la hora de combatir los ciberataques. El uso de componentes es también un punto a tener en cuenta en este departamento, los componentes de código abierto o de terceros aumentan el riesgo de sufrir un ataque o de no poder hacerle frente. 

En el sector de la seguridad existe una élite de expertos en la materia que tienen en su poder las últimas noticias del sector, nuevos ataques, nuevos tipos de malware y, por lo tanto, posee la capacidad de aportar información de valor para las empresas. Los desarrolladores tienen las obligación para con la empresa de recurrir a estos expertos en seguridad para que actúen como consultores en lugar de considerarlos adversarios o competidores.

El estudio realizado por Veracode también muestra que muchas organizaciones están progresando integrando la seguridad en el ciclo de vida del desarrollo de software. Por poner un ejemplo, cada vez se exploran más aplicaciones en busca de vulnerabilidades de seguridad de forma mensual o más frecuentemente que nunca hasta el momento, lo que sugiere una mayor adopción de las prácticas de DevSecOps. Este tipo de prácticas tienen como objetivo final la mayor comunicación entre el equipo de operaciones y el equipo de desarrollo para lograr mejores resultados. Fomentar la colaboración, no sólo entre departamentos, sino entre las distintas empresas y expertos de la seguridad promueve la creación de un sector mucho más compacto, capaz de encarar los embistes que se reciben diariamente.  

Comparando los resultados, el 18% más de las aplicaciones del estudio de Veracode se escanearon mensualmente, mientras que el número de aplicaciones escaneadas semanalmente aumentó casi un 50%. El estudio muestra cómo las organizaciones están escaneando más aplicaciones escritas en Java y .Net en particular. Este incremento de la actividad de escaneo conduce, como es lógico, a mejores tasas de corrección de errores en estas organizaciones.

Es significativo cómo el estudio descubre que las aplicaciones escritas en lenguajes populares de scripting web como JavaScript y PHP no se escanean con tanta frecuencia y el resultado  desemboca en una mayor prevalencia de categorías de fallas importantes como la inyección SQL (SQLi), scripts entre sitios, errores criptográficos y credenciales. Alrededor del 47% de las aplicaciones escritas en PHP, por ejemplo, tenían un defecto SQLi, y casi la mitad tenían un error de scripting entre sitios, mientras que un 31% relativamente bajo de las aplicaciones.

Si bien estos datos indican que la tendencia largamente comentada hacia DevOps y DevSecOps finalmente está sucediendo, según el estudio los desarrolladores aún pueden hacer más para acelerar las prácticas de la seguridad de las aplicaciones.  La incorporación de estos cambios en el trabajo de los desarrolladores viene dada desde la correcta formación. 

A pesar de que el peso de este estudio recae en los desarrolladores, la correcta formación es la manera de reforzar la eficacia de la seguridad de la empresa. Una vez más, el asentamiento de unas buenas bases de conocimiento pueden ser las que eviten el derrumbamiento de toda la empresa. 

0 comentarios:

Publicar un comentario