A vueltas con las pruebas de seguridad de las aplicaciones

Los finales y comienzos de año se caracterizan por ser mediáticos. Hacemos hace recuento de todas las cosas que sean reseñables y con ello lanzamos una campaña de comunicación a la medida de nuestros intereses de mercado. Es lo lógico, cada uno desea llevar el ascua a su sardina y por tanto debe proclamar sus cifras más interesantes para que el mercado las adopte y se consiga alinear a los potenciales clientes con esa realidad alternativa que son los datos de final de año en este producto o aquel servicio. O, como se da en Ciberseguridad, las cifras de ataques, vulnerabilidades, robos de datos y denegaciones de servicio para convencer a todo el mundo de poner al día la seguridad de sistemas y aplicaciones en previsión de ataques y multas, que es el panorama actual.

Hoy no voy a hablar de cifras, o por lo menos no en ese tono de balance anual. Voy a repasar, una vez más, el mundo de las pruebas de seguridad en aplicaciones para llamar la atención sobre los aspectos que más preocupan a los responsables de desarrollo y seguridad en las organizaciones: la eficiencia.

Cuando se adopta un programa para el gobierno de la seguridad en el desarrollo no se define una seguridad de varias velocidades. Si se forman programadores para que programen seguro no es coherente diferenciar las aplicaciones para que la codificación sea más o menos segura. – “Por favor, la reserva de salas para reuniones me la programas un poco menos seguro, pero el código la tienda web que sea muy seguro”. Esto no funciona así. Las decisiones en el momento de la codificación deben hacer homogénea la seguridad pues los costes derivados de una incorrecta aplicación de las políticas de codificación pueden ser impredecibles.

Sin embargo, a la hora de las pruebas de seguridad, las prácticas actuales pueden ser mejoradas tanto en coste como en eficiencia, pues la costumbre de realizarlas al final del desarrollo consigue, en muchos casos, añadir un factor de incertidumbre en un momento en el que el equipo está pensando en el despliegue y además un coste excesivo porque las pruebas de seguridad en este momento son exhaustivas y caras. No hablaremos del riesgo de las aplicaciones porque resulta evidente que a la aplicación de reserva de salas no se le aplica ninguna evaluación de seguridad debido al alto coste que supone.

El resultado tras estas evaluaciones con el coste que suponen, suele ser que, dependiendo de ciertas decisiones, se despliegue la aplicación y se posponga la remediación de los fallos encontrados para la siguiente release o bien que se pare la maquinaria del despliegue hasta que los fallos de seguridad estén remediados. Dije al comienzo que no hablaría de cifras, que cada uno haga las suyas en cuanto a la parada del despliegue o a la puesta en producción de aplicaciones inseguras en el caso de sufrir un ataque precisamente en ese momento.

La velocidad de los desarrollos actuales, con la irrupción de las metodologías ágiles, la integración continua y la automatización de los servicios relacionados con el desarrollo, no soportan pruebas de seguridad que penalicen el rendimiento y reduzcan la eficiencia que se espera de un proceso. Ahora queremos darle seguridad a esa eficiencia y no podemos hacerlo con largas pruebas de seguridad, informes con vulnerabilidades cuyo seguimiento es prácticamente imposible y separados en el tiempo lo suficiente para que la seguridad que se pretende obtener se quede en mera (y cara) anécdota.

Lo que los equipos de desarrollo demandan en materia de seguridad es un “autoservicio de pruebas de seguridad” que permita realizar pruebas de manera frecuente y a demanda, y que el proceso de desarrollo no vea frenada esa eficiencia por las pruebas de seguridad, sino que éstas agreguen VALOR al producto.

Por lo tanto, no podemos pensar en la seguridad como una característica estanca, independiente de cualquier otra característica de las aplicaciones que se producen en una organización y hoy por hoy la eficiencia es la que pone los desarrollos en el punto de mira. ¿Podremos combinar seguridad y eficiencia?

SOGETI ofrece todos los recursos – a través de nuestros servicios de ciberseguridad – para proteger a tu empresa de los ciberataques y conseguir así los objetivos de negocio.

Juan-Carlos-Pascual

Juan Carlos Pascual (@JKPascual)

Anuncios

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: