Las organizaciones descuidan la seguridad de sus aplicaciones
Comunicaciones Hoy23/09/2016
Las organizaciones basan, cada vez más, su negocio en las aplicaciones. Sin embargo, los departamentos de TI y de Seguridad se encuentran actualmente con importantes barreras para poder garantizar la integridad de las mismas y de los datos que contienen. Esta es una de las principales conclusiones del informe de F5 Networks “La seguridad de las aplicaciones en un entorno con múltiples riesgos”, en el que se recogen las opiniones de 605 responsables de TI y Seguridad de compañías de Estados Unidos.
Según este informe, un 50% de las empresas tendría en estos momentos entre 500 y 2.500 aplicaciones activas, y un 12% trabajaría con más de 2.500 aplicaciones. A pesar de que un tercio del total de las aplicaciones podrían considerarse críticas para la actividad de la compañía, sólo el 35% de los encuestados afirma contar con los recursos necesarios para detectar posibles vulnerabilidades en las mismas, y un 88% se manifiesta muy preocupado por las nuevas amenazas de seguridad.
La escasa visibilidad sobre la capa de aplicación, la migración de aplicaciones a la nube, la proliferación de dispositivos móviles y la poca preparación de los equipos de desarrollo serían los principales escollos a los que se enfrentan en estos momentos las organizaciones a la hora de garantizar la seguridad de sus aplicaciones y sistemas.
Proteger las aplicaciones ¿Misión imposible?
Los responsables de TI y de Seguridad consideran que la mayoría de ataques que reciben sus organizaciones van dirigidos a la capa de aplicación, y que en los últimos doce meses los incidentes sufridos han sido tipo Inyección SQL (29%), DDoS (25%) y Fraudes Web (21%). Asimismo, estos profesionales afirman que los ataques a la capa de aplicación son más complicados de detectar (63%) y más difíciles de controlar (67%) que los que van dirigidos a la capa de red.
A pesar de ser conscientes de lo anterior, un 57% manifiesta que es precisamente la falta de visibilidad sobre la capa de aplicación la principal barrera a la hora de poder garantizar una seguridad apropiada para sus aplicaciones. Esta situación podría tener su causa en el reparto del presupuesto global de seguridad, ya que sólo se destina el 18% del mismo a proteger la capa de aplicación, frente al 39% que va a parar a la capa de red.
Otra situación confusa se produce cuando se pregunta sobre quién es el responsable de proteger adecuadamente las aplicaciones. Así, un 21% de los encuestados afirma que en su empresa el responsable es el CIO o el CTO; un 20% comenta que los responsables son las distintas unidades de negocio; un 19% piensa que debe serlo el jefe de desarrollo. Aunque lo más preocupante es que un 20 por ciento dice que en su empresa no hay ninguna persona o departamento sobre el que pueda recaer esta responsabilidad.
Igualmente, resulta preocupante que un 66% de los encuestados afirme que no cuenta con toda la información sobre todas las aplicaciones implementadas en su organización y que otro 65% confirme que el Shadow TI es un verdadero problema en su empresa.
Los riesgos de la Movilidad y la Nube
A estos profesionales les preocupan también los problemas de seguridad relacionados con la migración de las aplicaciones a la nube (47%) y la proliferación de dispositivos móviles (43%). Así, se estima que en estos momentos casi un tercio de las aplicaciones (31%) son móviles, y que este porcentaje crecerá hasta el 38% en los próximos 12 meses. Igualmente, el 37% de las aplicaciones están actualmente en la nube, un 46% dentro de un año.
El 60% de los profesionales preguntados afirman que las aplicaciones móviles incrementan los riesgos de seguridad. Por su parte, las aplicaciones basadas en la nube resultan más peligrosas para el 51% de los encuestados.
La importancia del testing
Casi la mitad de los encuestados afirman que en sus organizaciones no se llevan a cabo las pruebas de calidad necesarias para identificar las vulnerabilidades. Sólo un 14 por ciento afirma que las aplicaciones se testean cada vez que se produce un cambio de código y un 16% sólo testea sus aplicaciones una o dos veces al año.
Aunque quizá lo más preocupante sea la carencia de personal de desarrollo cualificado, por lo que encontrar y retener este talento se ha convertido también en un desafío a destacar. Según el estudio de F5, las dos principales razones de que las aplicaciones contengan código vulnerable son la falta del entendimiento de las prácticas de codificación segura o la pobreza del código desarrollado. Aunque, por otra parte, no toda la culpa la tienen los profesionales de desarrollo. Así, el 67 por cien de los encuestados entiende que las prisas a la hora de poner una aplicación en producción puede ser una causa de que los procesos y procedimientos de codificación segura caigan en el olvido.
La realidad es que el 74% de los profesionales encuestados no confía en que las prácticas llevadas a cabo por los desarrolladores sean las más correctas para la seguridad de las aplicaciones. La incorporación de prácticas como DevOps o de Integración Continua es vista como una posible solución a la hora de garantizar la seguridad de las aplicaciones y de poder cumplir los plazos que marca el negocio.
Lo que parece estar claro, al menos para el 60% de los encuestados, es que los responsables de Desarrollo van a tener que asumir cada vez más responsabilidades en lo que a la seguridad de las aplicaciones se refiere. Así, un 63% afirma que las pruebas de calidad tendrán que moverse hacia las fases de diseño y desarrollo, a diferencia de ahora, que las pruebas se llevan a cabo en las fases de lanzamiento o postproducción (61%).
finalmente, en cuanto a soluciones de seguridad concretas, un 30% dice que sus organizaciones utilizan Web Application firewalls (WAF) para garantizar la integridad de sus aplicaciones. Un 21% utiliza sistemas de escaneado y un 19% opta por prácticas de pentesting.
Álex López de Atxer, country manager de F5 en España y Portugal afirma que “a pesar de que el número de ataques que tienen a las aplicaciones como primer objetivo crece, las soluciones de seguridad tradicionales siguen centrándose únicamente en el nivel de red. Sólo con una visión completa de la capa de aplicación es posible entender si realmente existe un ataque. De esta forma seremos capaces de identificar si una aplicación está siendo solicitada 2.000 veces por segundo, lo que indica que es muy posible que esté sufriendo un ataque, y podremos incrementar la capacidad, desviar el tráfico a un entorno específico seguro para poder analizarlo, ralentizar el tráfico o bloquear una determinada dirección IP… existe todo un abanico de posibilidades.”
Según este informe, un 50% de las empresas tendría en estos momentos entre 500 y 2.500 aplicaciones activas, y un 12% trabajaría con más de 2.500 aplicaciones. A pesar de que un tercio del total de las aplicaciones podrían considerarse críticas para la actividad de la compañía, sólo el 35% de los encuestados afirma contar con los recursos necesarios para detectar posibles vulnerabilidades en las mismas, y un 88% se manifiesta muy preocupado por las nuevas amenazas de seguridad.
La escasa visibilidad sobre la capa de aplicación, la migración de aplicaciones a la nube, la proliferación de dispositivos móviles y la poca preparación de los equipos de desarrollo serían los principales escollos a los que se enfrentan en estos momentos las organizaciones a la hora de garantizar la seguridad de sus aplicaciones y sistemas.
Proteger las aplicaciones ¿Misión imposible?
Los responsables de TI y de Seguridad consideran que la mayoría de ataques que reciben sus organizaciones van dirigidos a la capa de aplicación, y que en los últimos doce meses los incidentes sufridos han sido tipo Inyección SQL (29%), DDoS (25%) y Fraudes Web (21%). Asimismo, estos profesionales afirman que los ataques a la capa de aplicación son más complicados de detectar (63%) y más difíciles de controlar (67%) que los que van dirigidos a la capa de red.
A pesar de ser conscientes de lo anterior, un 57% manifiesta que es precisamente la falta de visibilidad sobre la capa de aplicación la principal barrera a la hora de poder garantizar una seguridad apropiada para sus aplicaciones. Esta situación podría tener su causa en el reparto del presupuesto global de seguridad, ya que sólo se destina el 18% del mismo a proteger la capa de aplicación, frente al 39% que va a parar a la capa de red.
Otra situación confusa se produce cuando se pregunta sobre quién es el responsable de proteger adecuadamente las aplicaciones. Así, un 21% de los encuestados afirma que en su empresa el responsable es el CIO o el CTO; un 20% comenta que los responsables son las distintas unidades de negocio; un 19% piensa que debe serlo el jefe de desarrollo. Aunque lo más preocupante es que un 20 por ciento dice que en su empresa no hay ninguna persona o departamento sobre el que pueda recaer esta responsabilidad.
Igualmente, resulta preocupante que un 66% de los encuestados afirme que no cuenta con toda la información sobre todas las aplicaciones implementadas en su organización y que otro 65% confirme que el Shadow TI es un verdadero problema en su empresa.
Los riesgos de la Movilidad y la Nube
A estos profesionales les preocupan también los problemas de seguridad relacionados con la migración de las aplicaciones a la nube (47%) y la proliferación de dispositivos móviles (43%). Así, se estima que en estos momentos casi un tercio de las aplicaciones (31%) son móviles, y que este porcentaje crecerá hasta el 38% en los próximos 12 meses. Igualmente, el 37% de las aplicaciones están actualmente en la nube, un 46% dentro de un año.
El 60% de los profesionales preguntados afirman que las aplicaciones móviles incrementan los riesgos de seguridad. Por su parte, las aplicaciones basadas en la nube resultan más peligrosas para el 51% de los encuestados.
La importancia del testing
Casi la mitad de los encuestados afirman que en sus organizaciones no se llevan a cabo las pruebas de calidad necesarias para identificar las vulnerabilidades. Sólo un 14 por ciento afirma que las aplicaciones se testean cada vez que se produce un cambio de código y un 16% sólo testea sus aplicaciones una o dos veces al año.
Aunque quizá lo más preocupante sea la carencia de personal de desarrollo cualificado, por lo que encontrar y retener este talento se ha convertido también en un desafío a destacar. Según el estudio de F5, las dos principales razones de que las aplicaciones contengan código vulnerable son la falta del entendimiento de las prácticas de codificación segura o la pobreza del código desarrollado. Aunque, por otra parte, no toda la culpa la tienen los profesionales de desarrollo. Así, el 67 por cien de los encuestados entiende que las prisas a la hora de poner una aplicación en producción puede ser una causa de que los procesos y procedimientos de codificación segura caigan en el olvido.
La realidad es que el 74% de los profesionales encuestados no confía en que las prácticas llevadas a cabo por los desarrolladores sean las más correctas para la seguridad de las aplicaciones. La incorporación de prácticas como DevOps o de Integración Continua es vista como una posible solución a la hora de garantizar la seguridad de las aplicaciones y de poder cumplir los plazos que marca el negocio.
Lo que parece estar claro, al menos para el 60% de los encuestados, es que los responsables de Desarrollo van a tener que asumir cada vez más responsabilidades en lo que a la seguridad de las aplicaciones se refiere. Así, un 63% afirma que las pruebas de calidad tendrán que moverse hacia las fases de diseño y desarrollo, a diferencia de ahora, que las pruebas se llevan a cabo en las fases de lanzamiento o postproducción (61%).
finalmente, en cuanto a soluciones de seguridad concretas, un 30% dice que sus organizaciones utilizan Web Application firewalls (WAF) para garantizar la integridad de sus aplicaciones. Un 21% utiliza sistemas de escaneado y un 19% opta por prácticas de pentesting.
Álex López de Atxer, country manager de F5 en España y Portugal afirma que “a pesar de que el número de ataques que tienen a las aplicaciones como primer objetivo crece, las soluciones de seguridad tradicionales siguen centrándose únicamente en el nivel de red. Sólo con una visión completa de la capa de aplicación es posible entender si realmente existe un ataque. De esta forma seremos capaces de identificar si una aplicación está siendo solicitada 2.000 veces por segundo, lo que indica que es muy posible que esté sufriendo un ataque, y podremos incrementar la capacidad, desviar el tráfico a un entorno específico seguro para poder analizarlo, ralentizar el tráfico o bloquear una determinada dirección IP… existe todo un abanico de posibilidades.”