Facebook Google Plus Twitter LinkedIn YouTube RSS Menú Buscar Recurso: BlogRecurso: Seminario webRecurso: InformeRecurso: Eventoicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir
  • Twitter
  • Facebook
  • LinkedIn

Web Application Security: Tres lecciones que aprendimos de las carreras de Formula 1™

Web Application Security: Tres lecciones que aprendimos de las carreras de Formula 1™

La seguridad de las aplicaciones web es más que una práctica recomendada: es una parte fundamental de su programa de seguridad. Descubra cómo la detección y la exploración de sus aplicaciones web puede ayudarle a obtener una ventaja sobre los atacantes.

Durante mucho tiempo, las aplicaciones web desempeñaron un papel fundamental en el apoyo al comercio electrónico y a las principales iniciativas de negocios. Entonces, ¿por qué hay tantas organizaciones que tienen dificultades para mantenerlas seguras?

Recientemente, una controvertida herramienta llamada PunkSpider (re)afirmó que puede rastrear toda la web, identificar las vulnerabilidades hackeables en sitios web y publicarlas para que todo el mundo pueda buscar esos resultados.

Si todos los demás exploran sus sitios web y sus aplicaciones web, ¿no debería saber lo mismo que saben ellos? Detectar y explorar sus aplicaciones web en busca de vulnerabilidades antes que nadie, le ayudará a minimizar el tiempo de inactividad, maximizar los ingresos y obtener la ventaja competitiva que necesita para garantizar el éxito del negocio.

Qué nos pueden enseñar las carreras de Formula 1™ acerca de la seguridad de las aplicaciones web

Ahora imagine que sus aplicaciones web son automóviles de Fórmula 1™, sus desarrolladores son los pilotos y su equipo de seguridad es el equipo de mecánicos. Los pilotos se preocupan por el rendimiento y la velocidad de los automóviles, mientras que el equipo de mecánicos se encarga de garantizar que los automóviles sean seguros, estén bien mantenidos y no tengan vulnerabilidades. Cuando los automóviles de carreras funcionan bien, todo el equipo no solo gana en el plano económico, sino que también aumenta su base de aficionados. Y, al igual que estos automóviles, cuando el sitio de comercio electrónico de una compañía funciona bien, genera ingresos. Sin embargo, si se pone en riesgo o sufre un tiempo de inactividad, la compañía pierde dinero y su reputación se resiente.

Entonces... ¿qué podemos aprender de las carreras de Fórmula 1?

1: Priorice la visibilidad

La visibilidad es fundamental para el éxito de un equipo de Formula 1. Los pilotos de F1 están en continuo contacto por radio con su equipo de mecánicos para obtener una visión clara de toda la carrera, incluyendo el estado de la pista, los giros y las curvas y todos los automóviles que están en la pista. 

Sus aplicaciones web son como los automóviles de Fórmula 1, ya que corren en un entorno rápido y dinámico. Desafortunadamente, con frecuencia, su equipo de seguridad no es consciente de todos los sitios y aplicaciones web que desarrollan otras partes de la organización. Algunos ejemplos son las aplicaciones web de terceros no autorizadas que los empleados utilizan en nombre de la compañía, y las aplicaciones web abandonadas y obsoletas que, potencialmente, plantean brechas de seguridad. Saber qué aplicaciones web tiene su organización —ya sean internas, de código abierto o desarrolladas por terceros— es un primer paso importante para protegerlas.

2: Dirija un equipo de mecánicos eficiente

A los equipos de Fórmula 1 se los conoce por su trabajo en equipo, su eficiencia y su capacidad para mantener los automóviles funcionando de forma segura y con niveles de rendimiento óptimos. Durante una carrera, el equipo de mecánicos debe ser sumamente eficiente: debe reabastecer el combustible y cambiar los neumáticos en menos de tres segundos en promedio. Es tan impresionante que uno se pregunta por qué una visita de mantenimiento en el concesionario no puede ser tan eficiente.

Del mismo modo, si pensamos que sus desarrolladores son los pilotos, su equipo de seguridad es el equipo de mecánicos. Los desarrolladores se enfocan en el rendimiento y la velocidad de las aplicaciones web y, con frecuencia, les preocupa cómo el proceso de seguridad adicional podría obstaculizar la agilidad de sus aplicaciones web. Los profesionales de la seguridad deben guiar, capacitar y apoyar a los desarrolladores en sus esfuerzos por crear código seguro. La meta de todo el equipo es garantizar el rendimiento y la velocidad de las aplicaciones web y, al mismo tiempo, mantener una buena higiene cibernética y aumentar la postura de seguridad.

3: Haga la vuelta de calentamiento

Antes de la carrera, los pilotos dan una vuelta de calentamiento o de formación para echar un último vistazo a la pista, calentar los neumáticos y asegurarse de que los automóviles estén totalmente preparados para la carrera.

Los pilotos de carreras cambian de marcha; los líderes de seguridad "aceleran la detección". La práctica tradicional de seguridad de entregar a su equipo de DevOps un informe estático de vulnerabilidades ya no es escalable en el dinámico entorno de negocios actual. La integración anticipada de una herramienta de escaneo de aplicaciones web en las fases de desarrollo, prueba y/o control de calidad del ciclo de vida del desarrollo de software (SDLC) es similar a una vuelta de calentamiento, que puede ayudar a exponer las vulnerabilidades en una etapa temprana, reducir el costo de reparación de esos problemas y limitar el potencial de daños debido a una vulneración. Según Gartner, para 2023, más del 70 % de las iniciativas empresariales de DevSecOps habrá incorporado el escaneado automatizado de detección de vulnerabilidades de seguridad y configuración para los componentes de código abierto y los paquetes comerciales, lo que supone un importante aumento frente al porcentaje de menos del 30 % en 2019*. Una práctica recomendada para aumentar la postura de seguridad es automatizar el escaneado de seguridad de las aplicaciones cada vez, antes de que pasen a producción y en la medida en que el código cambie.

En sus marcas, listos... ¡Fuera!

Ahora que está preparado para la carrera, mantenga sus aplicaciones web seguras y mejore la eficiencia eliminando el aislamiento en silos de sus equipos de seguridad y de DevOps, e integrando el escaneado de seguridad en su SDLC.

*Fuente: Gartner, "12 Things to Get Right for Successful DevSecOps", Neil MacDonald y Dale Gardner, actualizado el 9 de abril de 2021.

GARTNER es una marca registrada y una marca de servicio de Gartner, Inc. y/o sus filiales en los EE. UU. e internacionalmente, y se usa, en este documento, con permiso. Todos los derechos reservados.

Más información

Artículos relacionados

¿Es usted vulnerable a los últimos exploits?

Ingrese su correo electrónico para recibir las últimas alertas de Cyber Exposure en su bandeja de entrada.

Solución de prueba Compre ahora
Tenable.io GRATIS DURANTE 30 DÍAS

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Regístrese ahora.

Tenable.io COMPRE

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

65 activos

Seleccione su tipo de suscripción:

Comprar ahora
Solución de prueba Compre ahora

Pruebe Nessus Professional gratis

GRATIS DURANTE 7 DÍAS

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre Nessus Professional

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año. Más detalles aquí.

Solución de prueba Compre ahora

Pruebe Tenable.io Web Application Scanning

GRATIS POR 30 DÍAS

Disfrute el acceso completo a nuestra oferta de productos más recientes para el escaneo de aplicaciones web diseñados para aplicaciones modernas como parte de la plataforma Tenable.io. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Regístrese ahora.

Adquiera Tenable.io Web Application Scanning

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Versión de prueba Compre ahora

Pruebe Tenable.io Container Security

GRATIS POR 30 DÍAS

Disfrute del acceso sin límites a la única oferta de productos para la seguridad de contenedores integrada en una plataforma de gestión de vulnerabilidades. Supervisa imágenes de contenedores para detectar vulnerabilidades, malware e infracciones a las políticas. Integración con sistemas de implementación continua (CI/CD) para respaldar las prácticas de las operaciones de desarrollo, fortalecer la seguridad y respaldar el cumplimiento con las políticas empresariales.

Adquiera Tenable.io Container Security

Tenable.io Container Security permite de forma fácil y segura procesos de DevOps al ofrecer visibilidad sobre la seguridad de las imágenes de contenedores, incluyendo vulnerabilidades, malware e infracciones a políticas, mediante la integración con el proceso de desarrollo.

Versión de prueba Compre ahora

Probar Tenable Lumin

GRATIS POR 30 DÍAS

Con Tenable Lumin, visualice y explore su Cyber Exposure, dé seguimiento a la reducción del riesgo con el tiempo y compárela con la de sus competidores.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para averiguar cómo Lumin puede ayudarle a obtener información de toda su organización y gestionar el riesgo cibernético.