Seguridad de aplicaciones: las preguntas que deberías hacerte al respecto

Comparte este artículo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp

De nuevo platicamos con Ronen Riesenfeld, del equipo de Checkmarx México, para que nos ayude a resolver algunas preguntas sobre seguridad de aplicaciones que deberían estar en la mente de todas las organizaciones que publican software en México y Latinoamérica.

¿Porqué es importante evitar vulnerabilidades en el código?

Uno de los roles clave de DevOps es permitir a las organizaciones poner aplicaciones en producción de manera rápida y ágil, pero, al agregar el componente “Sec” a la ecuación, ayuda a que suceda de forma segura, ya que una intrusión puede tener impactos negativos en las organizaciones tanto en la reputación ante el cliente, como en pérdidas financieras, fallas en la operación e incluso, si la legislación lo requiere, implicaciones legales.

Sin embargo, resalta Ronen, “si la seguridad es complicada las organizaciones se rezagan y se convierte en un elemento demasiado costoso y así pierden una importante ventaja competitiva. Ahí es donde entran herramientas como Checkmarx, que ayuda a integrar la seguridad de manera sencilla y poco disruptiva para lanzar aplicaciones seguras y minimizando los riesgos que pudieran existir”.

Las organizaciones deben actuar en el momento oportuno: antes de que las amenazas se conviertan en una realidad o que la competencia nos aventaje en el lanzamiento de un producto.

¿Cómo integrar una perspectiva DevSecOps en mi organización?

Hoy en día, las organizaciones grandes ya son conscientes de DevSecOps y tienen embebida la seguridad en sus procesos, los desarrolladores están involucrados y son partícipes, dándoles la agilidad requerida. 

En muchas de ellas aún se requiere un cambio cultural, ya que DevSecOps opera en diferentes niveles: de flujo de trabajo, tecnológico, cultural y de procesos. Pero éstos no necesariamente están desarrollados al mismo nivel, no se trabaja en equipo con el objetivo de liberar software seguro de manera rápida y carecen de métricas comunes a DevSecOps, pues cada área evalúa su desempeño con indicadores diferentes, aunque lo que debiera interesarles es cómo liberar más software, más rápido y de manera segura.

seguridad de aplicaciones

Cualquier organización que escriba código debe implementar la seguridad, entendiendo que el costo de hacerlo no debe ser más alto que lo que estás cuidando. Si la vulnerabilidad te afecta únicamente en tener que reinstalar una aplicación y no pierdes datos ni operación, quizás no te convenga invertir en seguridad, pero si para tu organización un hackeo puede costar millones de dólares o una afectación a la reputación, pues deberían considerar seriamente un producto de seguridad. Es sorprendente, pero incluso hay organizaciones grandes que evitan invertir en seguridad, aunque las estadísticas digan que tarde o temprano serán hackeados. 

Es notorio que cada vez hay más conciencia, pero no es suficiente. En parte es porque las organizaciones no están obligadas a publicar cuando son hackeadas y no lo escuchamos, dando una falsa impresión de seguridad. Gente que le hackearon sus cuentas de TV de paga, su saldo en tarjetas de regalo, pero no están documentados y solo quedan en la conciencia de las organizaciones.

Desafortunadamente, las organizaciones cobran conciencia una vez que son hackeadas y es entonces cuando empiezan a tomar medidas. Es un poco como los respaldos de disco duro. Que si se daña, que se pierdan tus archivos importantes y guardan lo más importante para ti, así que hay un costo asociado, dependiendo de qué tanto valores lo protegen.

¿Cuánto debería invertir una organización en soluciones de seguridad de aplicaciones (AppSec)?

Hay una regla no escrita que dice que deberías invertir 37% del valor de tu inversión en asegurarlo, así que un producto de 1 millón de dólares, debería considerar 300 mil dólares para protegerlo.

Las organizaciones piensan que no les puede pasar y tarde o temprano sucede, como dicen las estadísticas. México está considerado como el 2o país más hackeado de Latinoamérica pero no nos enteramos cuando sucede.

Una aplicación bien diseñada puede evitar que con elementos como phishing puedan hackear a un usuario: una aplicación mal diseñada permite a un atacante mandar a un usuario un correo con ciertos parámetros que, al darle clic, le permitiera apoderarse de su cuenta, mediante una combinación de phishing y un mal diseño de la aplicación. Ahí es donde entra un servicio como Checkmarx que además de asegurar el código mediante nuestras soluciones, mediante nuestros Servicios Profesionales le ayudamos a las organizaciones a  diseñar bien suus aplicaciones, con una arquitectura correcta que proteja a sus clientes y evite que les roben la sesión fácilmente, por ejemplo.

Cualquier empresa que genera código y depende de sus aplicaciones para mantener su operación, la seguridad de sus clientes o su reputación, necesita una solución de seguridad, además la legislación empieza a requerir la seguridad tipo Checkmarx e incluso muchos contratos privados.

Muchas veces, las organizaciones se preocupan más por la funcionalidad del código, es decir el desempeño sobre la seguridad, hay otros que publican código con la esperanza de que no les pase a ellos. Incluso hay organizaciones que liberan aps sin haber pasado tan siquiera por un set de pruebas funcionales, que usan a sus usuarios como pruebas de calidad y funcionalidad. Si esto sucede, menos se preocupan por la seguridad.

¿Cuál es la situación de las Fábricas de Software? ¿Están adoptando una perspectiva DevSecOps?

Las fábricas de software son desarrolladores que venden sus servicios a empresas más grandes, y que son una tendencia importante en México y Latinoamérica. Muchas veces las empresas que los compran asumen erróneamente que sus aplicaciones son seguras, pero muchas veces no es así. Cuando las empresas escanean sus aplicaciones mediante soluciones como Checkmarx, terminan por regresar el trabajo para corregir esas vulnerabilidades detectadas, trabajo que a su vez cobran las fábricas que generaron ese código. 

Es importante madurar el mercado para que se les exija que entreguen código seguro y que si se detectan vulnerabilidades se corrijan como parte de una garantía y no de un trabajo de mitigación. Si la compañía hace partícipe a la Fábrica de Software del impacto, cambia la ecuación y le asigna al desarrollador una parte de la responsabilidad.

Las empresas que aún no invierten en AppSec deberían preocuparse de asegurar a sus usuarios que su software es seguro, que sus datos están siendo cuidados, que la aplicación es difícil que tenga fraudes y que protegen sus assets, como sus aplicaciones y la seguridad de las transacciones.

Cuando las organizaciones trabajan de forma responsable y crean código seguro y estable les permite enfocarse en nuevos productos y funcionalidades. En cambio,  si liberan software inseguro e inestable desperdician ciclos de desarrollo que les evitan enfocarse en innovar y así pierden oportunidades de crecimiento.

Si construyes bien e inviertes en un adecuado mantenimiento, te puedes enfocar en nuevas cosas, además del riesgo de tener abajo tu aplicación, que haya un robo de datos o que falle tu sistema de cajas durante 3 o 4 horas, en una cadena comercial. Hace un par de años hubo un problema con pagos con tarjeta que tuvo en jaque a todo México en una tarde de sábado.

¿Cómo se relaciona AppSec y el área financiera de la organización?

La persona responsable de AppSec debería trabajar de la mano con finanzas y ayudarles a entender qué aplicaciones tienen impacto financiero a la organización y a la inversa, que AppSec sea consciente del impacto financiero que podría traer una vulnerabilidad explotada.

Un reto para los líderes de un equipo de desarrolladores es crear conciencia a nivel organización de la necesidad de invertir en AppSec.

Las organizaciones deberían empezar por hacer un análisis de impacto financiero de una vulnerabilidad, por poner un ejemplo, tener las cajas cerradas de todas mis sucursales y apoyarse en AppSec para hacer seguridad en las aplicaciones, políticas, procedimientos y así reducir el riesgo por fallas en el software.

Es importante que el área de sistemas y de finanzas, se junten para hacer un inventario de las aplicaciones y su impacto financiero, para cobrar conciencia y una vez que saben que están protegiendo, sabrán cuánto invertir para minimizar los riesgos y mejorar la operación. Siempre será más barato tener procesos de mantenimiento, que un incidente de seguridad.

Las soluciones de Checkmarx, al integrarse a los ciclos de desarrollo sin causar retrasos se convierte en parte en los procesos prácticamente de forma transversal y no hay costos significativos adicionales en la operación. Ahí es donde se ven los beneficios económicos, al entregar un mejor producto, ahorrar tiempo de desarrollo y asegurar el código del cual depende el negocio.

Cada operación representa un costo y saberlo es fundamental para proyectar estos impactos potenciales. Imaginemos un banco cuyo sistema que le permite generar los estados de cuenta es hackeado por usar código abierto de una librería, que ocasione retrasos en los usuarios, y con esto una cadena de consecuencias que afectarán negativamente a la institución financiera: Costos operacionales, clientes molestos y es donde cobras conciencia de la importancia de asegurar cada sistema que usa la organización y no solo los que son de cara al cliente.

Hay tres cosas que las organizaciones deben saber acerca de AppSec:

1. Ser conscientes que pueden ser hackeados y que hay un alta probabilidad de que suceda

2. Que la mitigación no es complicada

3. Entender en qué les afectará no hacerlo. Si se trata de un costo económico, de reputación o incluso legal.

La realidad es que todas las organizaciones tendrán que enfrentar este tema tarde o temprano, si es tarde, seguramente será acompañado de pagar todos los costos asociados con un ataque, es decir: las pérdidas, el análisis forense de qué pasó, descubrir cómo te hackearon, remediar el problema y, por supuesto, la implementación de un sistema de seguridad como Checkmarx para que no te vuelva a pasar.

La pregunta es si lo harán de forma preventiva, o se van a esperar a que haya un incidente y hacerlo de forma correctiva, ya que como Ronen dice: “Hay dos tipos de empresas, las que sufrirán un hackeo y las que cuidan la seguridad de sus aplicaciones”.

Cuéntanos, ¿tu organización ha incorporado DevSecOps? ¿De qué manera previenen y resuelven las vulnerabilidades en sus aplicaciones?

Proteje mejor tu organización hoy, gratis

Descarga KICS y proteje tu IaC, tus API y toda tu organización de fallas y configuraciones incorrectas.