Noticias

Las aplicaciones gubernamentales corren mayor riesgo

El 59% tiene fallas que no se corrigen durante más de un año

[06/06/2024] Veracode ha publicado una investigación que revela que las aplicaciones desarrolladas por organizaciones del sector público tienen más deuda de seguridad que las creadas por el sector privado. Según lo señalado en el comunicado de prensa, la deuda de seguridad -definida para este informe como fallas que permanecen sin reparar durante más de un año- existe en el 59% de las solicitudes en el sector público, en comparación con la tasa general del 42%. La investigación analizó organizaciones del sector público en más de 25 países de todo el mundo.

"Décadas de deuda de seguridad acumulada en software sin parches y configuraciones de seguridad deficientes, están en las aplicaciones que sirven a nuestro gobierno", comentó Chris Eng, director de investigación de Veracode. "Sin un enfoque sistemático y continuo para encontrar y corregir fallas de seguridad, el sector público queda peligrosamente expuesto a los ataques de los piratas informáticos".

Los investigadores de Veracode encontraron que, si bien un poco menos de las organizaciones del sector público (68%) tienen deuda de seguridad que otras industrias (71%), tienden a acumular más. Solo el 3% de las aplicaciones están libres de fallas, en comparación con el 6% en otras industrias. Aún más preocupante, el 40% de las entidades del sector público tienen fallas persistentes y de alta gravedad que constituyen una deuda de seguridad "crítica", lo que pondría en grave riesgo la confidencialidad, integridad y disponibilidad de las empresas si se explotara.

"La buena noticia es que la mayoría de las organizaciones tienen la capacidad de remediar toda la deuda crítica, pero la priorización de riesgos es clave", anotó Eng. "Dos tercios de todas las fallas en las organizaciones del sector público tienen menos de un año de antigüedad o no son críticas en gravedad. Además, menos del uno por ciento de todos los defectos constituyen una deuda de seguridad crítica. Al priorizar esa deuda de seguridad con un esfuerzo enfocado, las organizaciones pueden lograr la máxima reducción de riesgos y luego pasar a abordar fallas no críticas en función de su tolerancia al riesgo y sus capacidades".

Según el informe, la deuda de seguridad en el sector público afecta principalmente al código de primera parte (93%), pero la mayor parte de la deuda de seguridad crítica proviene de dependencias de terceros (55,5%). "Esto refuerza la importancia de la Iniciativa de Software de Seguridad de Código Abierto (OS3I, por sus siglas en inglés), un grupo de trabajo interinstitucional centrado en garantizar que el software de código abierto sea 'tan seguro y sostenible como abierto'. También hace hincapié en la necesidad de que las organizaciones se centren tanto en el código de origen como en el de terceros para reducir eficazmente la deuda de seguridad, indicó el ejecutivo.

El análisis muestra además que la deuda de valores en el sector público se concentra principalmente en aplicaciones más antiguas y de mayor tamaño (22%). Esto es especialmente cierto en el caso de la deuda de seguridad crítica (30%), lo que confirma una correlación entre la antigüedad de la solicitud y la acumulación de deuda de seguridad. Los investigadores también compararon el perfil de deuda de seguridad para diferentes lenguajes de desarrollo y encontraron que las aplicaciones Java y .NET se destacan como fuentes significativas de deuda en el sector público.

"El estado actual de la seguridad del software en el sector público refuerza la importancia de hacer de la seguridad desde el diseño un enfoque estándar para todo el mundo conectado a la red", finalizó Eng. "Aplaudimos el reciente anuncio de CISA de su compromiso Secure by Design y estamos orgullosos de ser uno de los signatarios inaugurales. Nuestro objetivo con esta investigación es apoyar aún más a nuestro gobierno y a los socios de la industria en la promoción de la adopción generalizada de estos principios".

Franca Cavassa, CTOPerú

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTO Perú. El equipo editorial de CTO Perú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Casos de éxito

Más »