Volver al blog

Síguenos y suscríbete

La nueva edición del informe Forrester resalta la importancia de dotar a las aplicaciones de medidas de seguridad y de integrar la seguridad en DevOps

Julie Rockett

Director of Product Marketing, Fastly

Como cada año, Forrester ha publicado el informe «The State of Application Security», la hoja de ruta por excelencia en el campo empresarial de la seguridad de las aplicaciones web —o «AppSec»—. La edición de 2021 examina cómo el predominio cada vez mayor del código abierto, las API y los contenedores agrega complejidad a las tareas de los departamentos de Seguridad. Echemos un vistazo a otras conclusiones clave del informe de este año. 

Las aplicaciones, entre los principales vectores de ataque

Aunque la dependencia de las aplicaciones ya venía incrementándose en los últimos años, resulta evidente que la repentina tendencia al teletrabajo surgida en el año 2020 ha agudizado enormemente esa circunstancia entre las empresas. Según Forrester, las aplicaciones web continuarán siendo uno de los vectores principales de los ataques externos por tres motivos: 

  • el éxito incesante del uso de código abierto;

  • el incremento notable de las investigaciones en materia de seguridad, que deriva en una mayor notificación de los problemas de seguridad (incluido un elevado número de vulnerabilidades de API);

  • y la creciente popularidad de los entornos contenerizados, que pecan de problemas de código y configuración.

Dado que las aplicaciones siguen siendo objetivos preferentes de los ataques, muchas empresas tienen previsto priorizar la mejora de su perfil de AppSec en el año próximo. Aunque el 28 % de los responsables de seguridad encuestados para el informe Forrester tiene planes de mejora de las funciones de seguridad de sus aplicaciones, el 21 % pretende ir un paso más allá y dar prioridad a la integración de la seguridad en los procesos de desarrollo.

Y tu empresa, ¿qué planes tiene? Evalúa el perfil de AppSec de tu empresa respecto a la estrategia de seguridad general que hayas adoptado. Sigue leyendo para aprender a seleccionar la herramienta adecuada; además, encontrarás formas de mejorar la seguridad en fases más tempranas del desarrollo de software.

Las herramientas de AppSec ayudan a salvar la brecha entre seguridad y desarrolladores

Los atacantes son desarrolladores: crean malware, buscan aprovechar vulnerabilidades en la infraestructura y cambian de táctica todo el tiempo. Se adaptan con rapidez, y las empresas se ven obligadas a reaccionar manteniendo el ritmo. 

A pesar de la importancia que tiene automatizar la ejecución de pruebas de seguridad de las aplicaciones en las fases iniciales del desarrollo en la canalización de DevOps, el informe de este año recomienda también idear formas de acelerar las medidas de corrección una vez que se detectan problemas de seguridad en producción. Los datos recopilados por Forrester reflejan que los profesionales de la seguridad que continúan anticipándose o implementando pruebas y medidas de corrección en las fases incipientes del desarrollo se benefician de tiempos de corrección más cortos. Por ejemplo, al combinar resultados de pruebas de aplicaciones estáticas y dinámicas, las empresas fueron capaces de solucionar fallos de seguridad 24,5 días más rápido que la media.

La prevención de ataques en tiempo real exige invertir en una solución de seguridad que te aporte velocidad de visibilidad y control. Y esa receta es válida no solo para una ubicación o despliegue, sino para todo el mundo: el software y las personas se despliegan en todos los países. Por tanto, la seguridad debe ser coherente en todas las ubicaciones. (Para obtener más información sobre este tema, consulta nuestro seminario web bajo demanda «API-First Security for Real-Time Attack Response», donde aprenderás que la seguridad basada en API puede potenciar una rápida respuesta ante incidentes).

La anticipación continúa, pero la adopción de nuevas herramientas de AppSec es desigual


Ante el aumento de las violaciones de seguridad impulsadas por API, los departamentos de Seguridad no dudan en adoptar funciones de seguridad destinadas a las API. Sin embargo, queda trabajo por hacer: las empresas deben asegurarse de que sus herramientas puedan seguir el ritmo que imponen las nuevas arquitecturas de aplicaciones.

La anticipación figura entre las recomendaciones más relevantes del informe a la hora de actualizar y mejorar las herramientas y procesos de AppSec. El informe Forrester constata que cada vez más empresas realizan pruebas de seguridad de las aplicaciones en la fase de desarrollo, conscientes del valor de una corrección temprana.

Como ya sabes lo valiosa que resulta la prevención frente a la corrección, probablemente te estés planteando anticiparte todavía más en tus estrategias de desarrollo de software. Puesto que las herramientas se integran con mayor facilidad en la cadena de herramientas de CI/CD, analiza en qué punto podrías implantarlas en fases más tempranas del ciclo de vida del desarrollo de software. Ah, y no te olvides de la seguridad de los contenedores, cuyos resultados en las pruebas de seguridad suelen ser deficientes en la mayoría de las empresas. La anticipación también supone analizar en qué puntos del desarrollo y la producción se pueden implementar las medidas de protección de contenedores que sean necesarias.

Las estrategias de AppSec deben adaptarse al ritmo de los procesos de desarrollo ágil

El informe Forrester da cuenta de una tendencia al alza entre las empresas: su mayor dependencia de componentes de terceros y de código abierto, así como la apertura de más API externas. Por ello, apremia a los profesionales de la seguridad a cultivar la comunicación entre los equipos de seguridad y desarrollo y a adoptar herramientas automatizadas de pruebas de seguridad durante el proceso de desarrollo.

El informe hace hincapié en la relevancia de utilizar herramientas de seguridad que gusten a los desarrolladores. El hecho de que las herramientas de AppSec avanzadas presten una mayor atención a los desarrolladores facilita la colaboración entre profesionales de la seguridad y equipos de desarrollo, lo que garantiza que la seguridad quede asentada en los flujos de trabajo de desarrollo. Conviene que tus herramientas de seguridad de aplicaciones no se limiten a la ejecución de tareas de detección, sino que también aporten contexto y notas orientativas sobre corrección.

La pelota está en tu tejado 

La evolución del ecosistema del desarrollo de software conlleva nuevas metodologías de desarrollo, que a su vez traen consigo cambios en el paradigma convencional de la seguridad. Algunos clientes entiendenpostura con la que nosotros coincidimos— que este panorama exige hacer planes e inversiones en herramientas de seguridad de aplicaciones que se puedan integrar sin fricciones en los planes y las arquitecturas de desarrollo de aplicaciones que traiga el futuro.

Por abrumadora que parezca la idea de renovar tu stack con soluciones de seguridad unificadas que ofrezcan mayor agilidad y mejores resultados, los beneficios que obtendrías serían incalculables.