Brotes de ataques cibernéticos: Seguridad a medida para contener las fallas

Por octubre 9, 2018

El nivel de seguridad de las aplicaciones que usamos diariamente en nuestros smartphones y ordenadores es motivo de alarma

En una investigación realizada recientemente, se descubrió que el 77% de las aplicaciones tienen, por lo menos, una vulnerabilidad en el primer análisis. Ya menos de un tercio de las compañías cuentan con una estrategia eficaz para lidiar con ataques cibernéticos de gran escala, mientras que el pasado año, el malware “WannaCry” paralizó 300,000 computadoras en más de 150 países. Y cuando se detectan errores críticos, solamente 1 de 3 problemas se resuelven en un mes…

Gobernanza en todas las etapas

Incluso cuando el software desarrollado internamente es impecable, las aplicaciones continúan vulnerables a fallas de seguridad, ya que muchas de ellas incorporan bibliotecas de código abierto que no tienen garantías de ser seguras. ¡Este tipo de componente puede formar hasta un 75% del código en un paquete de software!

Ahora exploran infraestructuras que se están desarrollando rápidamente, con un aumento de modelos híbridos. Los negocios de hoy se inclinan a las plataformas basadas en la nube, dado que les ofrecen  una tecnología de microservicio y repositorios, brindando un acceso más fácil y rápido a las aplicaciones. Sin embargo, tales componentes pueden contener  un código defectuoso, incluso malicioso, y los negocios que los usan comprometen no sólo la seguridad de sus propios sistemas de información, sino también los de miembros de sus ecosistemas.

Los estudios realizados también muestran que, en un entorno de almacenamiento en la nube, una de cada seis bases de datos está completamente expuesta, sin medidas de seguridad. Las plataformas en la nube frecuentemente, por supuesto, ofrecen medidas de protección sofisticadas, pero si la compañía no las utiliza consistentemente, sus códigos y datos siguen siendo vulnerables. Por lo tanto,  urge que las compañías revisen sus reglas de gobernanza en el uso de centros de datos y plataformas de nube.

Del GDPR a la cultura corporativa

Además de reglas de gobernanza, que son notables por su ausencia, ¿el problema de la seguridad de aplicaciones podría solucionarse por regulaciones? La seguridad está en el corazón del General Data Protection Regulations (GDPR), que tomó fuerza el 25 de mayo. No obstante, mientras que proporciona una estructura más rigurosa para el uso de datos personales, el artículo 20 del GDPR podría abrir la caja de Pandora para su seguridad.

Centrado en la portabilidad de datos, este artículo fue proyectado para hacer que la transferencia de datos personales entre operadores rivales sea más fácil. Por ello, por ejemplo, si un cliente quiere dejar Apple Music e inscribirse en Deezer, o viceversa, su playlist será automáticamente transferida de uno a otro. Esta es la ventaja real para la libertad del consumidor, pero acarrea un riesgo mayor: las “plataformas de portabilidad” pueden actuar como intermediarias entre diferentes agentes del mercado. Y esas plataformas pasarán datos personales de un modo más o menos seguro. El riesgo no se centra en que tales agregadores tengan acceso a datos personales sin el consentimiento del consumidor (aunque…), sino en que las API utilizadas para enviar los datos puedan ser deficientes en seguridad.

Dados estos comentarios: ¿Qué puede hacer una compañía? ¡Necesita hacer un cambio cultural! Aunque muchos vean la seguridad como un obstáculo en términos de reactividad, productividad y flexibilidad, esto ocurre porque se tiene en cuenta demasiado tarde, lo que significa que el código tiene que ser reescrito y el tiempo de mercado es atrasado. En el contexto actual, este enfoque no es sostenible: un desarrollador debe hacer de la seguridad una prioridad desde la primera línea del código escrito. Como la norma “privacidad a medida” impuesta por el GDPR, la “seguridad a medida” debe convertirse en un lema para los equipos de desarrollo. Y los consejeros y directores de las compañías deben hacer de la seguridad un pilar de sus estrategias para captar y retener a los consumidores, porque esta es la fundación a partir de la cual la confianza será construida. Ya que sin confianza, no hay crecimiento…

Escrito por Marie-Benoîte Chesnais
Technical Account Director at CA Technologies
LinkedIn: @mariebenoîte