La seguridad en las aplicaciones: un reto asequible

A estas alturas, el que no tenga claro que ya no existen otras maneras de gestionar los procesos de negocio que a través de procesos digitales es que la transformación digital le ha pasado por encima y aún está tratando de reponerse.

cybersecurity_jpgCada día aparecen genios del negocio con ideas fantásticas, y lo digo sin sorna, para adaptar cualquier proceso, mecanismo o campaña a una plataforma digital que permita ganar en competitividad y eficiencia a lo que ya se hace o a lo que hace la competencia, lo que añade un gran dinamismo, casi una histeria permanente, a la creación de aplicaciones que soporten los procesos del negocio.

No sé si en toda esta algarabía alguien ha pensado que el negocio, ya digital, está buscando su eficiencia haciendo crecer en número esas aplicaciones cuyos beneficios nadie pone en duda, y que en esa búsqueda, ha encontrado un filón donde propagar el mensaje de valor y cosechar clientes: Internet. Fomentar el diálogo con socios de negocio y recabar datos que nos permitan conocer más el sector puede ser un juego de niños con la aplicación apropiada. Pero internet es el lugar donde residen los peligros más relevantes de los últimos años para el negocio. ¿Quién hubiera pensado que el lugar donde se ubican los procesos de negocio más innovadores y exitosos es además el lugar donde se aprovechan los fallos en las aplicaciones?

La producción de aplicaciones, la necesidad de disponer de funcionalidades urgentemente y la agilidad requerida en un entorno de negocios donde la anticipación a los competidores supone un factor decisivo es la tónica hoy en día, y por eso es el momento de comprender que agregar seguridad a las aplicaciones supone darles capacidad de resistir frente a los riesgos que pueblan Internet. Tener la información precisa para no incurrir en fallos de seguridad es clave hoy en día cuando los ataques y las filtraciones de datos suponen pérdidas superiores a cualquier esfuerzo en la mejora de aplicaciones.

Según un informe de HP, las aplicaciones constituyen el objetivo del 84% de los ataques, y el éxito en los ataques sobre la capa de aplicación está cifrado en el 80%. Las aplicaciones son aquellas que gestionan, por ejemplo, los códigos de las tarjetas de crédito y los datos personales, y las aplicaciones son las responsables de mantener la seguridad de los datos críticos del negocio. La ley nos obliga a tomar medidas de seguridad en aplicaciones y sistemas. Y ya que estamos ¿por qué no hacerlo de manera apropiada?

Tenemos dos procesos que nos ayudan a focalizar el esfuerzo de manera eficiente para garantizar la seguridad de las aplicaciones. La primera de ellas es la auditoría de seguridad del código, donde se detectan de manera precisa todos los patrones de programación que nos pueden provocar vulnerabilidades cuando pasen a producción. La eficiencia de las auditorías de la seguridad en el código es enorme y la detección de vulnerabilidades, además de precisión aporta soluciones, sugerencias y patrones seguros de programación que permiten resolver las deficiencias encontradas con la misma eficiencia y precisión.

El segundo proceso no va tan ligado al código, sino que atiende a la aplicación una vez está en producción. La integración en los elementos, la lógica de los procesos, la respuesta real a un ataque son el objetivo del análisis dinámico de vulnerabilidades, que nos permite “hilar fino” una vez se ha despejado la marabunta de las vulnerabilidades en el código.

Estas dos técnicas son complementarias. No se podría hacer frente a las vulnerabilidades descubiertas en un análisis dinámico si no viniera precedido de un análisis de código y, por otro lado, no sería posible responder a las amenazas reales sin el análisis de vulnerabilidades.

La protección de aplicaciones mediante estas técnicas es asequible, aporta capacidad a nuestros equipos de desarrollo y nos previene ante riesgos cada vez más ciertos y más cercanos. Integrar en los procesos de desarrollo la auditoría de código y el análisis de vulnerabilidades, hoy en día, es una decisión inteligente.

Conoce más sobre los Servicios de Ciberseguridad de SOGETI España, para hacer frente a los ciberataques.

Juan Carlos Pascual Chicón marcoJuan Carlos Pascual – Security Lead en Sogeti España

juan-carlos.pascual-chichon@sogeti.com

Autor: qanewsblog

Sogeti es una compañía tecnológica perteneciente al Grupo Capgemini y especialista en: Testing y Calidad de Software; Soluciones Microsoft y High Tech Consulting. En Sogeti entendemos la importancia de obtener el máximo valor empresarial de sus sistemas de IT, por ello somos líderes mundiales en Testing & QA. Somos creadores de las metodologías estándar del mercado: TMap® (Test Management Approach) y TPI® (Test Process Improvement). ¡Nuestro compromiso es el Testing!

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s