Podría hacerlo mejor. Ésta es la valoración que nos viene a la cabeza al consultar los resultados de un estudio sobre la seguridad de las aplicaciones desarrolladas por las empresas, publicado por Checkmarx, editorial especializada en seguridad de aplicaciones. Para esta encuesta se entrevistó a tres poblaciones diferentes: desarrolladores, administradores de seguridad de aplicaciones y CISO. Y los resultados son preocupantes. De hecho, el 86 % de los desarrolladores y administradores de seguridad de aplicaciones encuestados admiten que se implementó código vulnerable a sabiendas durante el año pasado, y para casi una cuarta parte (23 %), se trataba del mismo producto con frecuencia. Para el 40% de estos profesionales, esta elección se hizo para cumplir los plazos y cumplir los plazos. Pero esta apuesta arriesgada a menudo ha resultado perdedora: en 2022, el 88% de las empresas encuestadas sufrieron al menos una filtración de datos relacionada con una aplicación desarrollada internamente, porque contenía vulnerabilidades.

Lamentablemente, se conocen las razones de estas cifras tan elevadas. Por lo tanto, el 35% de los desarrolladores encuestados se encuentran bajo una mayor presión para entregar aplicaciones y actualizaciones más rápidamente. Ante esto, el temor de que la seguridad ralentice la entrega de aplicaciones puede provocar compromisos potencialmente peligrosos. Y a menudo, este temor resulta estar bien fundado: el 66% de los desarrolladores encuestados cree que las soluciones que escanean códigos para detectar problemas de seguridad están poco, mal o nada integradas con sus otras herramientas diarias: entornos de desarrollo, gestores. código y otros eslabones de la cadena CI/CD. Y el 41% de los administradores de seguridad de aplicaciones señalan la mala adopción de las herramientas AppSec por parte de los desarrolladores como un obstáculo importante. Pese a ello, seis de cada diez vulnerabilidades se detectan durante las fases de desarrollo, construcción o prueba, una cifra que demuestra el interés por implementar controles en los diferentes niveles de la cadena, y lo antes posible. Por lo tanto, simplificar la integración de la seguridad en los procesos de desarrollo resulta ser una palanca importante para pasar de DevOps a DevSecOps.

Índice
  1. Políticas de seguridad de aplicaciones respaldadas por varios actores.
  2. Formación de desarrolladores insuficiente
    1. Sobre el estudio

Políticas de seguridad de aplicaciones respaldadas por varios actores.

Otro tema de atención tiene que ver con las políticas de seguridad de las aplicaciones. Casi un tercio de los CISO encuestados admiten que las reglas de seguridad establecidas no siempre se aplican en su organización. Pero el estudio también interrogó a los encuestados para saber quién estableció estas políticas (con varias respuestas posibles), y las respuestas revelan una cierta dilución de responsabilidades en este ámbito: así, el 56% de los CISO indica que esto forma parte de sus prerrogativas, pero el 41% El % de ellos indica que los desarrolladores están involucrados, el 38% que el equipo de seguridad de las aplicaciones también está involucrado, otro 38% agrega el departamento de gestión de riesgos y cumplimiento y en el 37% de los casos, el propio equipo de gestión se involucra. Por tanto, en la mayoría de las empresas esta responsabilidad parece compartida entre diferentes actores, situación que no favorece necesariamente la aplicación de reglas claras y comunes a todos. En este contexto, el 72% de los CISO encuestados trabajan activamente para garantizar que se sigan las reglas vigentes.

El estudio también destaca diferencias de percepción entre las tres poblaciones encuestadas. Entre las causas más frecuentes de violaciones, los responsables de la seguridad de las aplicaciones señalan en primer lugar los ataques a la cadena de suministro que explotan el código fuente abierto (41%), seguidos del robo de identificadores, secretos o procedimientos de seguridad. autenticación débil (40%) y la presencia (conocida o no) de vulnerabilidades en el código implementado en producción (39%). En cuanto a los desarrolladores, sitúan en la cima (40%) el uso de la nube, la infraestructura como código y las malas configuraciones de los contenedores. Le sigue la presencia de vulnerabilidades, conocidas o desconocidas, en sus aplicaciones (38%) y, por último, el uso de componentes o paquetes de terceros que contienen código malicioso (38%). Finalmente, por el lado de los CISO, los riesgos prioritarios están vinculados al mayor uso de API (37%), la cadena de suministro (37%) y la contenerización de aplicaciones (también 37%). El uso de bibliotecas de código abierto y la infraestructura como código también genera su parte de riesgos, citados por el 36% de los CISO encuestados.

Formación de desarrolladores insuficiente

Por último, también se pueden hacer esfuerzos para formar a los desarrolladores en seguridad de aplicaciones. Sólo el 47% de los desarrolladores encuestados recibe formación periódica sobre el tema, y ​​sólo el 36% la considera eficaz. En cuanto a los CISO, la observación es aún más severa, ya que sólo el 22% considera que sus desarrolladores dominan perfectamente las buenas prácticas de seguridad de las aplicaciones. Pero el 37% de los CISO también cree que a los desarrolladores les falta tiempo y recursos para asegurar su código, y el 36% reconoce que los desarrolladores no han tenido la formación adecuada sobre el tema. Por su parte, Checkmarx señala los cinco errores más recurrentes en el código analizado por su plataforma: controles de acceso defectuosos, problemas en torno al cifrado, inyecciones de código, arquitecturas inseguras y finalmente fallos en el seguimiento y los registros de seguridad.