No hay duda de que el uso de aplicaciones Web sigue aumentando entre las empresas – sus beneficios son valiosos, pero también contienen vulnerabilidades para la seguridad de las empresas. Es por ello que ISACA lanzó un nuevo reporte titulado Web Application Security: Business and Risk Considerations (Seguridad de las Aplicaciones Web: Consideraciones de Negocio y de Riesgo), que analiza las causas de las vulnerabilidades de las aplicaciones Web, y examina el riesgo asociado, su impacto y brinda sugerencias para mitigar el riesgo. La guía aplica a todos los tipos de actividades de desarrollo de software, informó ISACA.
Según un comunicado de esta organización, algunas vulnerabilidades comunes identificadas en el reporte incluyen la inyección de SQL, cross-site scripting, referencias inseguras de objetos directos, la fuga de información, y la anti-automatización insuficiente
“Aunque se están reportando cada vez más violaciones en la Web, existe un gran número de ellas que nunca se reportan o ni siquiera se detectan, y muchas empresas no han tomado aún las acciones para resolver las vulnerabilidades”, aseguró Salomón Rico, CISA, CISM, CGEIT, de Deloitte México, y presidente del equipo de desarrollo de este reporte en ISACA. “Las aplicaciones Web deben contar con seguridad integrada en cada paso e ISACA ofrece una guía específica y los pasos detallados para hacerlo”.
El reporte incluye las siguientes estrategias para enfrentar el riesgo de las aplicaciones web:
• Las medidas de seguridad deben ser componentes obligatorios que se incluyan al inicio del proceso de desarrollo.
•Los programadores deben capacitarse en técnicas de codificación seguras.
• Debe existir un proceso robusto de aseguramiento de la calidad para aplicar pruebas de calidad continuas y controladas no sólo de la parte funcional sino de cuestiones de seguridad también
• Las aplicaciones implementadas deben ser monitoreadas continuamente para detectar las vulnerabilidades descubiertas
• Deben tomarse medidas decisivas para resolver las vulnerabilidades encontradas.
Finalmente, Rico señaló que estas nuevas tecnologías pueden integrarse exitosamente con cuidado, “lo que puede crear un mejor valor y reputación; así como un mayor apoyo de la empresa y sus integrantes”.
