Las Aplicaciones representan los mayores riesgos actuales de seguridad
En una infraestructura moderna de red y aplicaciones, estas últimas se han convertido en el mayor punto de riesgo por varias razones. Una de ellas es que hay proliferación de aplicaciones, ya que construir una es más fácil que nunca. El número de aplicaciones que aparecen en un ambiente típico de negocios está creciendo, y evolucionan rápidamente. Desafortunadamente, los recursos disponibles para enfrentar cualquier problema de seguridad que estas aplicaciones pueden crear son relativamente estáticos, y la dinámica de los negocios agrava el problema de la seguridad en cuanto a aplicaciones.
Hubo un tiempo en que la infraestructura estaba en las instalaciones y los ciclos de desarrollo no eran tan rápidos como lo son hoy. En tales ambientes, asegurar la infraestructura era más fácil. Ahora, con ambientes híbridos complejos y la demanda por acelerar los ciclos de desarrollo de las aplicaciones, es mucho más retador construir aplicaciones seguras en el tiempo en que son requeridas. Cada unidad de negocio podría tener su propio ambiente y trabajar con sus propios proveedores, ya que estos ambientes están en constante cambio. El personal de TI crea y derriba redes privadas virtuales.
“Corregir las fallas conocidas… para finalmente priorizar los esfuerzos en desarrollar características para aplicaciones que generen ingresos, en vez de su mantenimiento.”
Con una imagen en tiempo real del entorno, las organizaciones pueden enfocarse en las prioridades más altas de seguridad, pero tener ese panorama general es difícil. Existen productos disponibles para ayudar a agregar una vista del entorno de los negocios. Las herramientas de analítica y la visualización pueden dar al personal de TI una fotografía del ambiente, que pueden usar para priorizar los esfuerzos de seguridad.
Aún con las imágenes instantáneas de un ambiente cambiante y complejo, existen otros retos para construir aplicaciones seguras en relación con la priorización de los esfuerzos de desarrollo y la distribución de los recursos. En cuanto a la priorización, vamos a asumir que el personal de TI conoce cada vulnerabilidad en una aplicación y entiende perfectamente los casos de uso susceptibles al abuso. La organización de TI debe priorizar si compone esas fallas en vez de construir nuevas funciones, para que todo se reduzca a priorizar los esfuerzos en desarrollar características para aplicaciones que generen ingresos, en vez de su mantenimiento. Incluso, si no se puede reducir la lista de las fallas conocidas del elemento de mayor riesgo, debe priorizar esa compostura contra el potencial de obtener más ganancias al construirle nuevas características.
Lo que agrava la priorización del problema es la distribución de los recursos. Cuando buscamos la seguridad general de una app, la organización debe observar el amplio espectro de los servicios de aplicaciones, aplicaciones móviles e interfaces para programación de aplicaciones. También se debe considerar el ambiente de la aplicación, ya sea en las instalaciones, plataforma como servicio o infraestructura como servicio. Hay tanta presión para construir y lanzar las aplicaciones rápidamente que, con frecuencia, la empresa no tiene los recursos para probar la aplicación en todos los ambientes en los que el personal podría utilizarla.
“Es más importante que nunca involucrar a profesionales de seguridad de la información durante las primeras etapas del proyecto.”
Esta combinación del creciente número de aplicaciones, distribución de los recursos para construir y probar los complejos ambientes híbridos y priorizar las composturas de seguridad contra el desarrollo de nuevas características de las aplicaciones que generen ingresos es una receta que hace que las aplicaciones, probablemente, sean el mayor riesgo de seguridad que las empresas enfrentan hoy.
Con este reto de seguridad en mente, es más importante que nunca poder involucrar a profesionales de seguridad de la información durante las primeras etapas del proyecto, incluyendo los requerimientos de seguridad, de conformidad y así minimizar riesgos y un posible reinicio del proyecto. También es importante aprovechar los estándares existentes, estructuras y metodologías como las del Instituto Nacional de Estándares y Tecnología y las de la Organización Internacional para la Estandarización, y así asegurar que los proyectos tengan una plataforma de seguridad.
Autor: Mikhael Felker
Parte del libro «Asegurando su infraestructura de red y aplicaciones» de Fortinet.
Mikhael Felker es director de seguridad de la información de una empresa en crecimiento ubicada en Santa Mónica, California. Su experiencia profesional incluye una mezcla de seguridad de la información, privacidad, enseñanza, periodismo técnico y liderazgo sin fines de lucro en industrias como defensa, salud, educación y tecnología. Mikhael tiene una maestría en políticas y manejo de seguridad de la información por parte de la Universidad Carnegie Mellon y un título profesional en ciencias informáticas por parte de la UCLA.
Newsletter Semanal
Lo más relevante de ciberseguridad y tecnología.
Síguenos en las redes