Hemos dejado atrás el concepto original de la seguridad de las aplicaciones. A finales de la década de 1990, la mayoría de las aplicaciones no se utilizaban en Internet, de tal suerte que la seguridad estaba enfocada en el ciclo desarrollo de software y en garantizar que los desarrolladores se apegaran a las mejores prácticas de codificación segura.
El código seguro sigue siendo un aspecto importante de la seguridad de las aplicaciones, pero no lo es todo. Necesitamos analizar el tema desde una perspectiva mucho más amplia.
Como yo lo veo, debemos emplear un enfoque basado en riesgo y analizar todos los componentes que constituyen una aplicación, y entonces desarrollar una estrategia que provea la mayor seguridad a la aplicación en su totalidad.
Porque cuando un componente de una aplicación queda comprometido (ya sea una vulnerabilidad de código, disponibilidad de la red, SSL o DNS) toda la aplicación, al igual que los datos que alberga, se ve afectada.
Por ejemplo, piense en la disponibilidad. Hoy día, las aplicaciones están basadas en Internet, de modo que un ataque DDoS volumétrico puede inutilizar, o incluso inhabilitar, una aplicación. Ahora bien, eso no tiene nada que ver con código seguro, pero es de vital importancia para la salud global de su aplicación porque nadie puede acceder a ella.
¿O qué sucede si le interceptan una contraseña? La confidencialidad no tiene nada que ver con un código seguro, pero su aplicación sigue estando comprometida y sus datos pueden quedar expuestos. Ésa es la razón por la cual necesitamos aplicar los principios básicos de la confidencialidad, integridad y disponibilidad a todos los componentes de una aplicación, identificar debilidades donde éstas se presenten y corregirlas.
Visualizar la seguridad de las aplicaciones desde una perspectiva basada en riesgo le permite enfocarse en las fallas de componentes y le ayuda a proveer la seguridad más robusta para los datos que son el blanco principal de la mayoría de los ataques.
Enfoque basado en riesgo
El robo de datos se ha vuelto tan común hoy día porque los atacantes tienen una forma conveniente de acceder a ellos. El uso de un enfoque basado en riesgo le permite enfocarse en lo que es más importante para su negocio, ya sea que se trate de evitar que alguien le estropee su sitio web o de brindar protección contra infracciones a los datos.
Este enfoque basado en riesgo refuerza su postura global en torno a la seguridad y al mismo tiempo le garantiza que obtenga el mayor valor del dinero que invierte.
Así está la cosa: 72% de todos los ataques ocurren en el nivel de las aplicaciones, pero las compañías invierten tan sólo 10% de su presupuesto para seguridad en seguridad para las aplicaciones. Eso no tiene ningún sentido.
Con el crecimiento exponencial del Internet de las Cosas y las aplicaciones que la acompañan, este problema se está volviendo cada vez más complejo.
Vectores de vulnerabilidad
En 2010 había 200 millones de aplicaciones web; hoy día son 1,000 millones. En 2020, podrían ser fácilmente 5,000 millones. Todas esas aplicaciones son vectores de vulnerabilidad. Tan sólo piense en la Barbie con conectividad Wi-Fi o en un refrigerador inteligente y multiplique eso por 1,000 o por 10,000.
Ésa es la razón por la que es el momento de ampliar nuestra perspectiva de la seguridad de las aplicaciones de modo que estemos en una mejor posición para proteger de manera efectiva todos los componentes que conforman nuestras aplicaciones, salvaguardar nuestros datos y proteger nuestros negocios
________________
El autor de este artículo, Preston Hogue, es Director de Marketing de Seguridad en F5 Networks.