El 77% de las aplicaciones de software tiene al menos una vulnerabilidad

CA Technologies ha hecho públicos los resultados de un estudio mundial acerca del desarrollo de software seguro en el que han participado más de 1.200 responsables de TI, 466 de ellos de seis países europeos, incluido España.

El informe Integrating Security into the DNA of Your Software Lifecycle, elaborado por  la firma analista Freeform Dynamics, subraya la influencia de la cultura en la capacidad de las organizaciones españolas para integrar prácticas de seguridad como parte del ciclo de vida del desarrollo de software, una práctica crítica para el éxito de las empresas en la economía digital. 

En el informe, el 96% de los encuestados españoles confirmaron que el desarrollo de software ayuda al crecimiento y la expansión del negocio, y el 87% considera que impulsa la transformación digital. Las conclusiones del estudio revelan que el 81% de los encuestados españoles están de acuerdo en que las amenazas de seguridad derivadas de problemas de desarrollo de software son una preocupación creciente, la cifra más alta entre los países europeos encuestados.

Sin embargo, el 69% de las organizaciones españolas mencionaron la cultura existente como la principal barrera para integrar la seguridad en sus procesos, y sólo el 31% está muy de acuerdo en que la cultura y prácticas corporativas apoyan la colaboración entre desarrollo, operaciones y seguridad.

Otro reciente informe de CA Veracode State of Software Security Report 2017 también resaltó que las vulnerabilidades continúan apareciendo a un ritmo alarmante en software que no había sido testado previamente desde el punto de vista de la seguridad y también destacó que organizaciones de todo el mundo revelan que el 77% de las aplicaciones tiene al menos una vulnerabilidad en un análisis inicial.

“La seguridad es un principio clave en la fábrica de software moderna. Si bien nuestro estudio confirma un reconocimiento general de la importancia de crear y mantener de manera segura las aplicaciones, en las organizaciones españolas debe cambiar la cultura para mejorar la colaboración entre los equipos de TI e identificar y solucionar las vulnerabilidades más rápidamente”, explica Rufino Honorato, director de preventas y CTO de CA Technologies Iberia. “Incorporar la seguridad en cada paso de la entrega de aplicaciones con DevSecOps y tecnologías avanzadas como aprendizaje automático o analítica del comportamiento permite mejorar significativamente los resultados para la empresa y modificar la manera en la que se lleva a cabo el negocio”.

La seguridad ha de ser incorporada en el desarrollo

De acuerdo con el informe Integrating Security into the DNA of Your Software Lifecycle una mayoría de las organizaciones españolas encuestadas reconocen que la rapidez de los cambios en las demandas regulatorias y de negocio hace que las organizaciones tengan que modificar la manera en la que gestionan la seguridad en sus procesos de desarrollo de software. En concreto, se indica que el enfoque tradicional de probar la seguridad al final del proceso de desarrollo ya no es suficiente: un 92% de las organizaciones españolas creen que es esencial o importante que la seguridad esté más integrada en el proceso de desarrollo de software, y no con prisas al final del mismo. El 79% de los encuestados están de acuerdo o muy de acuerdo en que es crítico integrar las prácticas de seguridad más pronto en el ciclo de desarrollo del software, en otras palabras, adoptar DevSecOps.

Sin embargo, tan solo el 29% de las organizaciones españolas encuestadas han hecho de la seguridad una parte integral de DevOps (por ejemplo, implementando DevSecOps), comparado con el 44% de las francesas. Además, el 29% ya ha implementado pruebas continuas desde etapas tempranas en las aplicaciones para detectar vulnerabilidades de seguridad.

La falta de capacidades y de tiempo obstaculizan la seguridad, pero la automatización es inminente

Además de identificar la cultura organizativa existente como un obstáculo para el desarrollo de software seguro, el 69% de las organizaciones españolas encuestadas reconocieron que la falta de las capacidades necesarias es un problema para hacer de la seguridad parte integral de su proceso de desarrollo de software, desde la evaluación de requisitos de la aplicación hasta el diseño y la entrega. Esta es la cifra más elevada en Europa que registra una media del 55%. Además, el 65% de las empresas españolas citaron la presión del tiempo como otra barrera. El gran desafío asociado con estos procesos hace esencial el uso de herramientas de automatización, ya que muy pocas cuentan con los recursos humanos cualificados o con el tiempo suficiente para abordar este tipo de desafíos urgentes y complejos.

Dos tecnologías basadas en la automatización, como son la analítica de comportamiento y el aprendizaje automático, pueden ayudar a resolver esta falta de capacidades y de tiempo a la vez que mejoran la seguridad. Según el informe, el 94% de las organizaciones españolas encuestadas creen que ambas tecnologías son clave para proteger los datos de los usuarios y ofrecerles una mejor experiencia, la cifra más alta de toda Europa. Esto es fundamental para tomar medidas preventivas que eviten una violación de datos y / o mitigar su impacto, y esencial para la autenticación de controles en función de lo que un usuario hace y lo que se sabe de él. De hecho, el 74% de las organizaciones utilizan analítica, aprendizaje automático e inteligencia artificial para un mayor conocimiento sobre las necesidades y comportamientos de los clientes, mientras que el 81% está aumentando la automatización en todo el ciclo de vida del desarrollo de software.

Las organizaciones europeas expertas en seguridad de software van a la cabeza

El informe recoge las características de las organizaciones identificadas como expertas en materia de seguridad de software (un 32% de los participantes europeos). Estas organizaciones han sido capaces de integrar completamente la seguridad en el ciclo de vida del desarrollo de software. Esto incluye testar las aplicaciones continuamente y en las fases tempranas del desarrollo para detectar vulnerabilidades de seguridad, así como incorporar las prácticas DevSecOps. 

Las organizaciones europeas expertas en seguridad de software valoran 1,7 veces más la seguridad que el resto de empresas. Además de proteger los datos y sistemas de una compañía, consideran la seguridad un posibilitador de nuevas oportunidades de negocio. Comparado con el resto de empresas, este grupo de organizaciones destaca por conseguir:

• Incremento del 50% de la tasa de crecimiento de beneficios
• Incremento del 40% de la tasa de crecimiento de ingresos
• 2,4 veces mayor probabilidad de mantener al día las pruebas de seguridad con las actualizaciones frecuentes de aplicaciones 
• 1,9 veces mayor posibilidad de superar a sus competidores

“Las organizaciones expertas en seguridad de software no sólo muestran una fuerte correlación entre integrar la seguridad en el ADN del desarrollo de software y conseguir mejores resultados, sino que también son ejemplo de la mentalidad y las habilidades necesarias para tener éxito en la economía digital y son agentes de cambio, ya que dan forma a la cultura organizacional clave para crear el lugar de trabajo del futuro”, concluye Honorato. “No todas las organizaciones están en la etapa de ser expertos de seguridad de software, pero emplear una estrategia de seguridad continua puede acelerar el paso para llegar a serlo, mejorando así el tiempo de entrega al mercado y la capacidad de la organización para competir y crecer”.

La entrada El 77% de las aplicaciones de software tiene al menos una vulnerabilidad aparece primero en Globb Security.