2019 ha sido un año donde se han producido importantes ciberamenazas, como el botnet de EMOTET en las AAPP españolas el pasado mes de septiembre, o las vulnerabilidades descubiertas en códigos y aplicaciones, como el primer ataca con éxito usando BlueKeep de Microsoft en octubre. La preocupación de los líderes empresariales por la ciberseguridad lleva tiempo siendo una tendencia al alza, y todo parece indicar que seguirá reflejándose en los presupuestos y estrategias de todas las empresas en 2020.
Alejandro Novo, director en España, Portugal e Italia de Veracode ha evaluado el estado actual de la seguridad del software y ha delineado algunos puntos que marcarán el panorama digital y tecnológico en el próximo año:
- Los errores humanos ocurren y hay que asumirlos. Dos de las mayores preocupaciones de los CSO y equipos de TI en 2020 serán, por un lado, el poder tener una visión holística de la seguridad, tanto de aplicaciones como de sistemas y redes; y, por otro, el que los empleados tomen conciencia de que los principales ataques de seguridad ocurren debido a errores humanos provocados por el desconocimiento o por la falta de formación. Una de las mejores opciones para minimizarlos es proporcionar programas de formación en materia de ciberseguridad y educar a los desarrolladores para que incluyan las mejores prácticas de protección del código como parte de sus desarrollos.
- Herramientas de terceros para evitar la explotación de vulnerabilidades de código abierto. Hoy en día, hasta el 90% del código de una aplicación está compuesto por componentes de código abierto. Los desarrolladores van a continuar confiando en ellos para desarrollar su código, haciendo uso de cientos de miles de nuevas bibliotecas. El uso de éstas no es un problema, pero las empresas deben saber qué bibliotecas se están utilizando, cómo se ven afectadas sus aplicaciones y si el equipo de desarrollo puede reaccionar lo suficientemente rápido ante las nuevas vulnerabilidades.
Ante esto, las empresas aumentarán el uso de soluciones específicas para ayudar a identificar y a evitar vulnerabilidades introducidas a través de bibliotecas open source. En pocas palabras, los equipos deben incorporar una mejor disciplina en el uso de componentes de código. Encontrar nuevas formas de monitorizar, rastrear y administrar dichos componentes en el código es una de las actividades con más impacto en las que los desarrolladores pueden participar para garantizar un software seguro
- DevSecOps, el estándar para los desarrollos. Durante 2019 hemos visto cómo las prácticas de DevSecOps han permitido, especialmente, identificar cuáles son los principales retos a los que se enfrentan las empresas, siendo el más destacado la mejora del Time To Market y el mantenimiento de la velocidad de desarrollo al mismo tiempo que se garantiza la seguridad del código. Las empresas también deben fomentar la creación de una cultura de colaboración entre los equipos de seguridad y desarrollo. En 2020, DevSecOps se establecerá eventualmente como el estándar utilizado por la mayoría de las empresas para mejorar el desarrollo de software seguro.
- La deuda de seguridad seguirá aumentando. Una investigación reciente señala que más de la mitad de todos los fallos de seguridad que se encuentran (56%) son remediados, pero un enfoque centrando en la solución de los mismos mientras se dejan de lado errores antiguos lleva al incremento de la deuda de seguridad. Aun así, hay muchas empresas que no han entendido que la seguridad de las aplicaciones tiene que ver con la remediación, no solo con encontrar vulnerabilidades. Las organizaciones deben abordar las nuevas vulnerabilidades mientras eliminan las viejas. Los datos indican que la frecuencia con la que se escanea una aplicación tiene un impacto directo en la deuda de seguridad general.
- En 2020 veremos un aumento en la implantación de programas de seguridad de aplicaciones. Hasta la fecha, el mayor desafío a la hora de securizar el software estaba relacionado con la falta de madurez de las empresas. A lo largo de 2020 veremos cómo las compañías empiezan a ser conscientes de la importancia que tiene esa seguridad para que su negocio tenga una ventaja competitiva frente al resto, no solo para cumplir con reglamentos como GDPR, y comienzan a implantar estrategias de seguridad de software que se integren con sus ciclos actuales de desarrollo para proteger las aplicaciones desde la base, es decir, desde la creación del código.