En nuestra infatigable evangelización en el desarrollo seguro por todos los confines del planeta, en ocasiones nos suceden cosas dignas de ser reseñadas en esta válvula de escape que es QAnewsblog.
Supongo que el lector conviene conmigo en los puntos principales que motivan el artículo. No son muchos ni muy complicados, solamente se trata de dar una especial importancia a la ciberseguridad en estos tiempos tan revueltos, en considerar que es necesario establecer controles que nos permitan cumplir los objetivos de ciberseguridad y que es imprescindible adoptar prácticas y metodologías que nos permitan mejorar en todos los ámbitos relacionados con el negocio, especialmente en ciberseguridad.
Bien, pues teniendo claras estas premisas y sabiendo que las aplicaciones de negocio están expuestas y con ellas, los datos de negocio y el mismo negocio, es necesario que las prácticas de desarrollo se ajusten a unas metodologías capaces de mejorar en todos los sentidos, y eso incluye, sobre todo, la seguridad.
Es necesario recalcar esto porque las prácticas de desarrollo seguro no son en sí mismas un control de seguridad. Una organización se establece unas metas y unos objetivos y para ello desarrolla toda su capacidad en márketing y ventas, e organización y sistemas de información, en gestión de compras, gestión de stock y dirección del negocio. No podemos decir que el mejorar en cualquiera de los aspectos de una organización, más en seguridad con los tiempos que corren, sea un control, sino actividades que deben ser controladas y evolucionadas hasta hacerlas bien. ¡Hasta hacerlas seguras, vaya!
Por otro lado, tenemos controles de seguridad, que nos permiten detectar los ataques y prevenir de alguna manera sus efectos. En el caso de los WAF (Web Application Firewalls), estamos hablando de unos aparatos que se configuran como proxy por delante de las aplicaciones a las que defienden y obedeciendo a unas reglas son capaces de filtrar códigos atacantes y retener al enemigo en aquellas peticiones que tiene definidas. Sin embargo, los mecanismos de aprendizaje de los WAF no son perfectos y dejan pasar muchas de las amenazas que existen sobre aplicaciones. De la misma manera, los WAF bloquean tráfico que puede ser requerido para transacciones de negocio, produciendo el efecto contrario al que se desea obtener.
Para evitar estos errores, los WAF sustentan sus reglas de filtrado en los resultados de los análisis de vulnerabilidades que se realizan para conocer los puntos débiles de las aplicaciones y cuyo conocimiento puede (y debe) ser reutilizado como parte de las prácticas de desarrollo seguro. El WAF ayuda a contener el ataque, pero no resuelve el problema. El problema es conseguir unas prácticas de desarrollo seguro que forman parte de la evolución hacia las mejores prácticas en cualquier organización. Es parte de eso que llaman “buscar la excelencia”.
Por eso, cuando acudo a un cliente a mostrarle los beneficios del desarrollo seguro y me reciben con un “-no necesitamos de eso. Tenemos un WAF”, me parece, y no lo puedo evitar, como aquel que pretende librarse de la malaria con un repelente contra mosquitos.
Descubre cómo SOGETI puede ayudarte a implantar estrategías de ciberseguridad eficaces en tu compañía.
Tu centro de expertise en España sobre Quality Engineering y Testing 
0 comments on “Ya tenemos WAF”