La importancia del Desarrollo Seguro ¿qué es?.
En ISO 27002 es en el dominio 12. Seguridad de las operaciones, donde localizamos el control 12.1.4 en referencia a la separación de los recursos de desarrollo, prueba y operación.
El objetivo de este control es asegurar el correcto funcionamiento de las instalaciones de tratamiento de la información.
Para ello deben separarse los recursos de desarrollo de software, pruebas y operación, con el fin de reducir los riesgos de accesos no autorizados.
Son muchas las empresas con aplicaciones y programas desarrollados por terceros, ya sean a medida o con personalizaciones.
Estas empresas desarrolladoras de software, suelen ser la puerta de entrada utilizada por los ciber delincuentes para cometer delitos.
Bien sea para robar información, quizás lanzar ataques de phishing o iniciar campañas de ransomware con el objetivo del lucro económico o el robo de datos para revenderlos posteriormente.
Los ataques a desarrolladores de aplicaciones son frecuentes, siguen en aumento y son muy exitosos para los delincuentes.
Si bien es cierto que, algunos desarrolladores tienen interés en crear códigos seguros y de calidad, las vulnerabilidades del software continúan siendo explotadas.
Ello pone en peligro la seguridad de las aplicaciones y de la información de sus clientes.
Lo hemos visto tantas veces en tantos accesos no autorizados…!
Primero definir código seguro
He localizado el informe realizado por Secure Code Warrior a partir de la encuesta elaborada acerca del estado de la seguridad impulsada por los desarrolladores.
Puedes descargar el informe de Secure Code Warrior aquí.
La encuesta, dirigida a desarrolladores a nivel mundial, tenía por objetivo comprender comportamientos respecto al código seguro durante el Ciclo de Vida de Desarrollo de Software (SDLC).
La encuesta resalta la ausencia en la definición y el significado del código seguro.
Los desarrolladores creen que el código seguro es una cosa distinta a lo que en realidad es un código seguro.
Aunque la prioridad principal para los desarrolladores es escribir código de calidad, solo el 29% de los encuestados reconoció priorizar escribir código libre de vulnerabilidades.
Los desarrolladores asociaron prácticas menos seguras con la creación de código seguro.
Como, por ejemplo, examinar el código existente (37%) y confiar en bibliotecas de fuentes externas para obtener un código seguro (37%) son las principales prácticas asociadas con el código seguro.
Nada más lejos de la realidad.
Reutilizar código que ya se había considerado seguro (32%) fue otra opción.
Escribir un código libre de vulnerabilidades, en sexto lugar (29%), según dicen los encuestados, es una de las principales prácticas para la creación de código seguro.
Además, señalan la falta de tiempo y la falta de coherencia por parte de la dirección, como las principales barreras para crear un código seguro.
Confiar en el código existente es la principal amenaza que aumenta el riesgo de enviar el software con vulnerabilidades explotables.
Sin duda es necesario definir el significado y las características del código seguro, imprescindible para que los desarrolladores creen código de calidad y seguro.
¿Cómo hacer un desarrollo seguro?
La encuesta muestra la gran preocupación de los desarrolladores para escribir código de calidad.
Coinciden en que las empresas para quien trabajan no han identificado cuales son las mejores prácticas para producir código seguro.
La mayoría los desarrolladores encuestados afirmaron que las empresas donde trabajan, ni siquiera han definido cuales son las características de un código seguro.
En el complejo panorama de amenazas actual, el simple hecho de esperar buenos resultados sin trabajar realmente para lograrlos probablemente producirá más brechas de seguridad.
Afortunadamente, solucionar el problema es relativamente fácil.
¿Qué es el código seguro?
El código seguro es el código libre de vulnerabilidades, desde el inicio del SDLC.
Una vez definido el código seguro, los desarrolladores ya pueden iniciar las tareas de desarrollo de código seguro.
La codificación segura ha de ser respaldada por la dirección quien debe aportar la autoridad y el presupuesto necesarios para el éxito del proyecto.
Aquí hay que destacar que el 37% de los desarrolladores en la encuesta informaron haber dejado vulnerabilidades conocidas dentro de su código.
Según los desarrolladores encuestados, los motivos se deben a que la necesidad de cumplir con los plazos de entrega acordados impide dedicar tiempo para corregir las vulnerabilidades detectadas o codificar bien desde el inicio del proyecto.
Eliminar la posibilidad de una brecha que se implemente puede terminar ahorrando cientos de horas y también millones en pérdida de ingresos o sanciones a las empresas.
Los desarrolladores necesitan formación práctica relevante y también urgente.
En especial en referencia a vulnerabilidades específicas que es probable que encuentren y ayuda para aprender a identificar y corregir vulnerabilidades en el código.
El 36% de los encuestados admitió carecer de las habilidades o el conocimiento para eliminar las vulnerabilidades de su código.
No basta con saber desarrollar código si no que es imprescindible aprender a desarrollar código seguro, libre de vulnerabilidades.
En verdad, para meditar.
