Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir

Web Application Security: Tres lecciones que aprendimos de las carreras de Formula 1™

La seguridad de las aplicaciones web es más que una práctica recomendada: es una parte fundamental de su programa de seguridad. Descubra cómo la detección y la exploración de sus aplicaciones web puede ayudarle a obtener una ventaja sobre los atacantes.

Durante mucho tiempo, las aplicaciones web desempeñaron un papel fundamental en el apoyo al comercio electrónico y a las principales iniciativas de negocios. Entonces, ¿por qué hay tantas organizaciones que tienen dificultades para mantenerlas seguras?

Recientemente, una controvertida herramienta llamada PunkSpider (re)afirmó que puede rastrear toda la web, identificar las vulnerabilidades hackeables en sitios web y publicarlas para que todo el mundo pueda buscar esos resultados.

Si todos los demás exploran sus sitios web y sus aplicaciones web, ¿no debería saber lo mismo que saben ellos? Detectar y explorar sus aplicaciones web en busca de vulnerabilidades antes que nadie, le ayudará a minimizar el tiempo de inactividad, maximizar los ingresos y obtener la ventaja competitiva que necesita para garantizar el éxito del negocio.

Qué nos pueden enseñar las carreras de Formula 1™ acerca de la seguridad de las aplicaciones web

Ahora imagine que sus aplicaciones web son automóviles de Fórmula 1™, sus desarrolladores son los pilotos y su equipo de seguridad es el equipo de mecánicos. Los pilotos se preocupan por el rendimiento y la velocidad de los automóviles, mientras que el equipo de mecánicos se encarga de garantizar que los automóviles sean seguros, estén bien mantenidos y no tengan vulnerabilidades. Cuando los automóviles de carreras funcionan bien, todo el equipo no solo gana en el plano económico, sino que también aumenta su base de aficionados. Y, al igual que estos automóviles, cuando el sitio de comercio electrónico de una compañía funciona bien, genera ingresos. Sin embargo, si se pone en riesgo o sufre un tiempo de inactividad, la compañía pierde dinero y su reputación se resiente.

Entonces... ¿qué podemos aprender de las carreras de Fórmula 1?

1: Priorice la visibilidad

La visibilidad es fundamental para el éxito de un equipo de Formula 1. Los pilotos de F1 están en continuo contacto por radio con su equipo de mecánicos para obtener una visión clara de toda la carrera, incluyendo el estado de la pista, los giros y las curvas y todos los automóviles que están en la pista. 

Sus aplicaciones web son como los automóviles de Fórmula 1, ya que corren en un entorno rápido y dinámico. Desafortunadamente, con frecuencia, su equipo de seguridad no es consciente de todos los sitios y aplicaciones web que desarrollan otras partes de la organización. Algunos ejemplos son las aplicaciones web de terceros no autorizadas que los empleados utilizan en nombre de la compañía, y las aplicaciones web abandonadas y obsoletas que, potencialmente, plantean brechas de seguridad. Saber qué aplicaciones web tiene su organización —ya sean internas, de código abierto o desarrolladas por terceros— es un primer paso importante para protegerlas.

2: Dirija un equipo de mecánicos eficiente

A los equipos de Fórmula 1 se los conoce por su trabajo en equipo, su eficiencia y su capacidad para mantener los automóviles funcionando de forma segura y con niveles de rendimiento óptimos. Durante una carrera, el equipo de mecánicos debe ser sumamente eficiente: debe reabastecer el combustible y cambiar los neumáticos en menos de tres segundos en promedio. Es tan impresionante que uno se pregunta por qué una visita de mantenimiento en el concesionario no puede ser tan eficiente.

Del mismo modo, si pensamos que sus desarrolladores son los pilotos, su equipo de seguridad es el equipo de mecánicos. Los desarrolladores se enfocan en el rendimiento y la velocidad de las aplicaciones web y, con frecuencia, les preocupa cómo el proceso de seguridad adicional podría obstaculizar la agilidad de sus aplicaciones web. Los profesionales de la seguridad deben guiar, capacitar y apoyar a los desarrolladores en sus esfuerzos por crear código seguro. La meta de todo el equipo es garantizar el rendimiento y la velocidad de las aplicaciones web y, al mismo tiempo, mantener una buena higiene cibernética y aumentar la postura de seguridad.

3: Haga la vuelta de calentamiento

Antes de la carrera, los pilotos dan una vuelta de calentamiento o de formación para echar un último vistazo a la pista, calentar los neumáticos y asegurarse de que los automóviles estén totalmente preparados para la carrera.

Los pilotos de carreras cambian de marcha; los líderes de seguridad "aceleran la detección". La práctica tradicional de seguridad de entregar a su equipo de DevOps un informe estático de vulnerabilidades ya no es escalable en el dinámico entorno de negocios actual. La integración anticipada de una herramienta de escaneo de aplicaciones web en las fases de desarrollo, prueba y/o control de calidad del ciclo de vida del desarrollo de software (SDLC) es similar a una vuelta de calentamiento, que puede ayudar a exponer las vulnerabilidades en una etapa temprana, reducir el costo de reparación de esos problemas y limitar el potencial de daños debido a una vulneración. Según Gartner, para 2023, más del 70 % de las iniciativas empresariales de DevSecOps habrá incorporado el escaneado automatizado de detección de vulnerabilidades de seguridad y configuración para los componentes de código abierto y los paquetes comerciales, lo que supone un importante aumento frente al porcentaje de menos del 30 % en 2019*. Una práctica recomendada para aumentar la postura de seguridad es automatizar el escaneado de seguridad de las aplicaciones cada vez, antes de que pasen a producción y en la medida en que el código cambie.

En sus marcas, listos... ¡Fuera!

Ahora que está preparado para la carrera, mantenga sus aplicaciones web seguras y mejore la eficiencia eliminando el aislamiento en silos de sus equipos de seguridad y de DevOps, e integrando el escaneado de seguridad en su SDLC.

*Fuente: Gartner, "12 Things to Get Right for Successful DevSecOps", Neil MacDonald y Dale Gardner, actualizado el 9 de abril de 2021.

GARTNER es una marca registrada y una marca de servicio de Gartner, Inc. y/o sus filiales en los EE. UU. e internacionalmente, y se usa, en este documento, con permiso. Todos los derechos reservados.

Más información

Artículos relacionados

Noticias de ciberseguridad que le son útiles

Ingrese su correo electrónico y nunca se pierda alertas oportunas y orientación en seguridad de los expertos de Tenable.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Probar Tenable Web App Scanning

Disfrute de acceso completo a nuestra última oferta de escaneo de aplicaciones web diseñada para aplicaciones modernas como parte de la plataforma Tenable One Exposure Management. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Registrarse ahora.

Su prueba de Tenable Web App Scanning también incluye Tenable Vulnerability Management y Tenable Lumin.

Comprar Tenable Web App Scanning

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Probar Tenable Lumin

Visualice y explore su gestión de exposición, realice un seguimiento de la reducción de riesgos a lo largo del tiempo y compárese con sus competidores con Tenable Lumin.

Su prueba de Tenable Lumin también incluye Tenable Vulnerability Management y Tenable Web App Scanning.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para saber cómo puede ayudarle Tenable Lumin a obtener información de toda su organización y gestionar el riesgo cibernético.

Probar Tenable Nessus Professional gratuitamente

GRATIS POR 7 DÍAS

Tenable Nessus es el escáner de vulnerabilidades más completo en el mercado hoy en día.

NUEVO - Tenable Nessus Expert
Ahora disponible

Nessus Expert viene con aún más funcionalidades, incluyendo escaneo de superficie de ataque externa y la capacidad de agregar dominios y escanear infraestructura en la nube. Haga clic aquí para probar Nessus Expert.

Rellene el formulario a continuación para continuar con la prueba de Nessus Pro.

Comprar Tenable Nessus Professional

Tenable Nessus es el escáner de vulnerabilidades más completo en el mercado hoy en día. Tenable Nessus Professional ayudará a automatizar el proceso de escaneo de vulnerabilidades, ahorrará tiempo en sus ciclos de cumplimiento y le permitirá involucrar a su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año.

Seleccione su licencia

Compre una licencia multi anual y ahorre.

Añada soporte y capacitación

Probar Tenable Nessus Expert gratuitamente

GRATIS POR 7 DÍAS

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

¿Ya tiene Tenable Nessus Professional?
Actualice a Nessus Expert gratuitamente por 7 días.

Comprar Tenable Nessus Expert

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

Seleccione su licencia

Compre una licencia plurianual y ahorre más.

Añada soporte y capacitación