Web Application Security: Tres lecciones que aprendimos de las carreras de Formula 1™. 

La seguridad de las aplicaciones web es más que una práctica recomendada: es una parte fundamental de su programa de seguridad. Descubra cómo la detección y la exploración de sus aplicaciones web puede ayudarle a obtener una ventaja sobre los atacantes.

Durante mucho tiempo, las aplicaciones web desempeñaron un papel fundamental en el apoyo al comercio electrónico y a las principales iniciativas de negocios. Entonces, ¿por qué hay tantas organizaciones que tienen dificultades para mantenerlas seguras?

Recientemente, una controvertida herramienta llamada PunkSpider (re)afirmó que puede rastrear toda la web, identificar las vulnerabilidades hackeables en sitios web y publicarlas para que todo el mundo pueda buscar esos resultados.

Si todos los demás exploran sus sitios web y sus aplicaciones web, ¿no debería saber lo mismo que saben ellos? Detectar y explorar sus aplicaciones web en busca de vulnerabilidades antes que nadie, le ayudará a minimizar el tiempo de inactividad, maximizar los ingresos y obtener la ventaja competitiva que necesita para garantizar el éxito del negocio.

Qué nos pueden enseñar las carreras de Formula 1™ acerca de la seguridad de las aplicaciones web

Ahora imagine que sus aplicaciones web son automóviles de Fórmula 1™, sus desarrolladores son los pilotos y su equipo de seguridad es el equipo de mecánicos. Los pilotos se preocupan por el rendimiento y la velocidad de los automóviles, mientras que el equipo de mecánicos se encarga de garantizar que los automóviles sean seguros, estén bien mantenidos y no tengan vulnerabilidades. Cuando los automóviles de carreras funcionan bien, todo el equipo no solo gana en el plano económico, sino que también aumenta su base de aficionados. Y, al igual que estos automóviles, cuando el sitio de comercio electrónico de una compañía funciona bien, genera ingresos. Sin embargo, si se pone en riesgo o sufre un tiempo de inactividad, la compañía pierde dinero y su reputación se resiente.

Entonces... ¿qué podemos aprender de las carreras de Fórmula 1?

1: Priorice la visibilidad

La visibilidad es fundamental para el éxito de un equipo de Formula 1. Los pilotos de F1 están en continuo contacto por radio con su equipo de mecánicos para obtener una visión clara de toda la carrera, incluyendo el estado de la pista, los giros y las curvas y todos los automóviles que están en la pista. 

Sus aplicaciones web son como los automóviles de Fórmula 1, ya que corren en un entorno rápido y dinámico. Desafortunadamente, con frecuencia, su equipo de seguridad no es consciente de todos los sitios y aplicaciones web que desarrollan otras partes de la organización. Algunos ejemplos son las aplicaciones web de terceros no autorizadas que los empleados utilizan en nombre de la compañía, y las aplicaciones web abandonadas y obsoletas que, potencialmente, plantean brechas de seguridad. Saber qué aplicaciones web tiene su organización —ya sean internas, de código abierto o desarrolladas por terceros— es un primer paso importante para protegerlas.

2: Dirija un equipo de mecánicos eficiente

A los equipos de Fórmula 1 se los conoce por su trabajo en equipo, su eficiencia y su capacidad para mantener los automóviles funcionando de forma segura y con niveles de rendimiento óptimos. Durante una carrera, el equipo de mecánicos debe ser sumamente eficiente: debe reabastecer el combustible y cambiar los neumáticos en menos de tres segundos en promedio. Es tan impresionante que uno se pregunta por qué una visita de mantenimiento en el concesionario no puede ser tan eficiente.

Del mismo modo, si pensamos que sus desarrolladores son los pilotos, su equipo de seguridad es el equipo de mecánicos. Los desarrolladores se enfocan en el rendimiento y la velocidad de las aplicaciones web y, con frecuencia, les preocupa cómo el proceso de seguridad adicional podría obstaculizar la agilidad de sus aplicaciones web. Los profesionales de la seguridad deben guiar, capacitar y apoyar a los desarrolladores en sus esfuerzos por crear código seguro. La meta de todo el equipo es garantizar el rendimiento y la velocidad de las aplicaciones web y, al mismo tiempo, mantener una buena higiene cibernética y aumentar la postura de seguridad.

3: Haga la vuelta de calentamiento

Antes de la carrera, los pilotos dan una vuelta de calentamiento o de formación para echar un último vistazo a la pista, calentar los neumáticos y asegurarse de que los automóviles estén totalmente preparados para la carrera.

Los pilotos de carreras cambian de marcha; los líderes de seguridad "aceleran la detección". La práctica tradicional de seguridad de entregar a su equipo de DevOps un informe estático de vulnerabilidades ya no es escalable en el dinámico entorno de negocios actual. La integración anticipada de una herramienta de escaneo de aplicaciones web en las fases de desarrollo, prueba y/o control de calidad del ciclo de vida del desarrollo de software (SDLC) es similar a una vuelta de calentamiento, que puede ayudar a exponer las vulnerabilidades en una etapa temprana, reducir el costo de reparación de esos problemas y limitar el potencial de daños debido a una vulneración. Según Gartner, para 2023, más del 70 % de las iniciativas empresariales de DevSecOps habrá incorporado el escaneado automatizado de detección de vulnerabilidades de seguridad y configuración para los componentes de código abierto y los paquetes comerciales, lo que supone un importante aumento frente al porcentaje de menos del 30 % en 2019*. Una práctica recomendada para aumentar la postura de seguridad es automatizar el escaneado de seguridad de las aplicaciones cada vez, antes de que pasen a producción y en la medida en que el código cambie.

En sus marcas, listos... ¡Fuera!

Ahora que está preparado para la carrera, mantenga sus aplicaciones web seguras y mejore la eficiencia eliminando el aislamiento en silos de sus equipos de seguridad y de DevOps, e integrando el escaneado de seguridad en su SDLC.

*Fuente: Gartner, "12 Things to Get Right for Successful DevSecOps", Neil MacDonald y Dale Gardner, actualizado el 9 de abril de 2021.

GARTNER es una marca registrada y una marca de servicio de Gartner, Inc. y/o sus filiales en los EE. UU. e internacionalmente, y se usa, en este documento, con permiso. Todos los derechos reservados.

Más información

• Regístrese al seminario web (en inglés):  Tres maneras de mejorar la seguridad de las aplicaciones web: lecciones de las carreras de F1™.
• Lea la infografía: Qué nos pueden enseñar las carreras de Formula 1 acerca de la seguridad de las aplicaciones web