Seguridad desde el código

  • Seguridad

  • Hace 2 meses

  • febrero 25, 2021

En medio de una acelerada transformación digital, en la que las amenazas cibernéticas están en aumento, es vital para una compañía realizar  pruebas de seguridad durante todo sus ciclos de vida de desarrollo de software.

Sobre este tema, Computerworld Colombia conversó con Vladimir Villa, CEO de Fluid Attacks para conocer este ambiente de pruebas integrales de seguridad, ethical hackers, y la seguridad como una estrategia de negocio para las empresas.  

  • ¿Qué tanto las empresas en sus desarrollos de software son conscientes de la importancia de la seguridad desde el código?

Puede variar bastante. Sin embargo, son cada vez más las empresas que se preocupan por la seguridad como parte del proceso de desarrollo de software. 

Aparte de darle valor significativo en los ciclos de desarrollo, la seguridad es algo prioritario en los procesos, como algo a considerar y a evaluar desde que se escriben las primeras líneas de código. Estas compañías logran reconocer los beneficios, no solo en términos monetarios, que pueden alcanzarse al detectar las vulnerabilidades en seguridad desde las primeras fases de desarrollo, sino en remediar inconvenientes con prontitud, antes de que una aplicación esté disponible para el público en general; es una enorme ventaja en reducción de riesgos posteriores. Este es un enfoque preventivo más que reactivo.

La seguridad del código depende de su solidez y calidad, por lo cual, preferiblemente, debe ser revisado de forma continua, tal como puede ayudar a hacerlo Fluid Attacks, con un amplio número de hackers éticos trabajando al tiempo, y dentro de un servicio especial de Hacking Continuo. Debemos aclarar que no existe ningún misterio al hacer público un código, desde que este no contenga información particular del negocio, como por ejemplo, contraseñas, reglas de negocio, o porciones con comentarios. Si el código cae en manos desconocidas, este debe protegerse ‘por sí mismo’, sin revelar secreto alguno.

  • ¿En los testing se logran identificar las vulnerabilidades de las aplicaciones o no es una práctica que realicen las empresas?
Te puede interesar:  Aplicaciones nativas en la nube

La detección de las vulnerabilidades de seguridad en las aplicaciones de las empresas va a depender siempre de la calidad de las pruebas, la cual varía según los medios empleados. Son muchas las compañías que recurren simplemente a la implementación de herramientas automatizadas para la identificación de vulnerabilidades en su software. Otras, en cambio, reconocen que esta metodología no es suficiente y acceden a los servicios de ethical hacking y pentesting, por ejemplo. Uno de los inconvenientes más significativos con el uso de herramientas, es precisamente que estas terminan ofreciendo altas tasas de falsos positivos y negativos, es decir, suelen reportar como vulnerabilidad aquello que no lo es y dejan sin reportar muchas otras. Y aunque es cierto que la capacidad de las herramientas va a variar de acuerdo con su tecnología, hasta ahora sigue siendo necesario que analistas expertos en ciberseguridad intervengan en las pruebas para hacer de ellas algo más completo y eficiente. 

Actualmente, un ethical hacker logra lo que una máquina no, y es pensar como un hacker malicioso, quien con su creatividad y astucia puede hallar las más profundas vulnerabilidades de un sistema o software de una organización para sacar ventaja de ellos. Así pues, en Fluid Attacks reconocemos la importancia del factor humano en las pruebas de seguridad, y lo fusionamos con la tecnología para en conjunto llevar a cabo análisis veloces, precisos y competitivos en cuanto a costos para nuestros clientes.

  • Cuando se diseña software, se puede hacer inhouse o contratar con terceros. ¿Cómo las empresas pueden garantizar que los proveedores externos cumplen con niveles de seguridad para no comprometer las aplicaciones y servidores de la empresa?

Para que las empresas puedan garantizar que los proveedores de software les entregan material seguro es estrictamente necesario llevar a cabo pruebas. Si bien es cierto que pueden forjarse relaciones de confianza entre las partes, manteniendo una comunicación transparente y precisa respecto a asuntos como metodologías y estándares, también es cierto que esto no es suficiente garantía. Las pruebas de seguridad completas, mezclando herramientas automáticas y la astucia de los ethical hackers, comprendiendo diversidad de técnicas, y revisando de manera continua, son el mejor método para comprobar si lo que entrega un proveedor es de verdad seguro. El cumplimiento de estándares internacionales de ciberseguridad es algo que una compañía necesita verificar constantemente en su proveedor de software para tomar las mejores decisiones en favor de la seguridad de sus sistemas y activos de información.

  • Uno de los aceleradores de adopción de TI y desarrollos, es la nube. ¿Qué tanto los proveedores de nube también cuentan con políticas de seguridad para ayudar a las empresas?
Te puede interesar:  Panorama de la ciberseguridad y cómo protegerse

Tal como en el caso de la adición de componentes de terceros a las aplicaciones, el traslado de información de sistemas propios a una nube o sistema remoto manejado por un tercero implica beneficios en costos y eficiencia, además de escalabilidad, para muchas compañías en la actualidad. Lo preocupante en este tipo de servicios es la seguridad de los datos sensibles de cada empresa y de sus clientes o usuarios. Esa sensación de perder el control sobre dichos datos, entregándolos al mantenimiento de otros, puede significar para algunos cierto limitante en su proceso de expansión. Para otros, ya hospedados en la nube, la idea de perder los datos en sí, no deja de ser motivo de inquietud e incertidumbre. Es por eso que las organizaciones que ofrecen el servicio de alojamiento de información en nubes deben cumplir con requerimientos de seguridad como los planteados en la General Data Protection Regulation (GDPR) de Europa. También deben tener presente estándares internacionales intersectoriales como los SOC y los ISO, y algunos de áreas específicas como HIPAA (industria de la salud) y PCI-DSS (industria financiera). Fluid Attacks, en sus evaluaciones de seguridad, integra un enorme conjunto de requerimientos de los mencionados, y muchos más, estándares y regulaciones internacionales, para ayudar a determinar si los servicios de nube ofrecidos por una organización son realmente seguros.