La 13.ª edición del Informe sobre el estado de la seguridad del software publica las tendencias en el panorama del software y cómo evolucionan las prácticas de seguridad. Algunos de los resultados son preocupantes: en el 82 % de las aplicaciones desarrolladas en el sector público se descubrió al menos una vulnerabilidad de seguridad, en comparación con el 74 % en las empresas privadas.
El estudio State of Software Security encontró que las aplicaciones del sector público tienden a tener más vulnerabilidades de seguridad que las aplicaciones del sector privado. La mayor cantidad de errores y vulnerabilidades en las aplicaciones se correlaciona con un mayor riesgo de seguridad. El estudio se realizó en el contexto de una serie de iniciativas gubernamentales globales para mejorar la ciberseguridad, como la Ley de Resiliencia Cibernética de la UE, que tiene como objetivo introducir requisitos mínimos de seguridad adicionales para productos con elementos digitales. El análisis de datos de más de 27 millones de escaneos en 750.000 XNUMX aplicaciones formó la base del último informe anual de Veracode
Muchas aplicaciones con agujeros de seguridad
Los investigadores encontraron que alrededor del 82 por ciento de las aplicaciones desarrolladas por organizaciones del sector público tenían al menos una vulnerabilidad de seguridad. Esto se compara con el 74 por ciento de las empresas privadas. Los datos para el estudio se recopilaron en los últimos 12 meses. Según el tipo de vulnerabilidad identificada, había entre un 12 % y un 7 % más de probabilidad de que se hubiera integrado una vulnerabilidad en las aplicaciones del sector público en los últimos 12 meses.
Los números por sí solos no reflejan las consecuencias que ocurren cuando los piratas informáticos explotan errores y vulnerabilidades. En agosto del año pasado, por ejemplo, un ataque a la cadena de suministro en la Cámara de Comercio e Industria de Alemania significó que tuvieron que cerrar por completo sus sistemas de TI y servicios digitales, teléfonos y servidores de correo electrónico. Los servicios esenciales volvieron a estar disponibles poco después del ataque, pero pasó más de un mes antes de que se restaurara la funcionalidad completa.
Graves vulnerabilidades en el sector público
Cuando se trata de vulnerabilidades de "gravedad alta", los sectores públicos tienen la ventaja. Durante el período de 12 meses del estudio, el porcentaje de aplicaciones con vulnerabilidades críticas de seguridad fue menor en el sector público (16,5 %) que en las empresas privadas (19 %). Las vulnerabilidades de mayor gravedad tienen un mayor potencial de afectar a todo el sistema si se explotan.
Las pruebas de aplicaciones modernas fomentan el uso de herramientas de análisis de seguridad, como las pruebas de seguridad de aplicaciones estáticas (SAST) y el análisis de composición de software (SCA). Diferentes tipos de escaneos pueden descubrir diferentes tipos de vulnerabilidades. SAST y SCA encontraron un porcentaje menor de defectos en aplicaciones del sector público que en aplicaciones de empresas privadas.
La precaución es mejor que la paciencia
Hay una gran diferencia entre los sectores público y privado cuando se trata de la velocidad a la que los escaneos encuentran nuevas vulnerabilidades en el software obsoleto. Para aplicaciones que han estado en uso durante 5 años, las deficiencias de seguridad aumentan en el sector privado, mientras que disminuyen en las organizaciones públicas. Esta tendencia muestra que las organizaciones del sector público prestan atención a la seguridad de sus aplicaciones durante varios años y no solo al comienzo del ciclo de vida.
El 'Informe sobre el estado de la seguridad del software en el sector público de 2023' recomienda cuatro acciones que los organismos gubernamentales pueden tomar para mejorar su postura en materia de ciberseguridad:
- Ponerse al día: los retrasos de errores conocidos deben corregirse lo antes posible.
- Escaneo frecuente: el escaneo irregular hace que sea más difícil corregir errores y genera más retrasos.
- Automatizar: al automatizar las pruebas a través de API, se evitan mejor los errores y defectos en las aplicaciones.
- Adición de DAST a la pila de seguridad: utilice el análisis dinámico para descubrir vulnerabilidades que otros tipos de análisis pasan por alto.
“El sector público ha avanzado mucho en la mejora de la seguridad de sus aplicaciones. Sin embargo, aún queda mucho trabajo por hacer para permitir que las autoridades mejoren su seguridad cibernética y eviten nuevas amenazas. Al centrar sus esfuerzos de seguridad en la causa raíz de la mayoría de las infracciones cibernéticas, la capa de aplicación, pueden realizar mejoras significativas. Los escaneos regulares que utilizan varios métodos de prueba y la subsiguiente corrección de vulnerabilidades allanarán el camino hacia un futuro más seguro para el sector público”, dijo Julian Totzek-Hallhuber, Gerente de Arquitectos de Soluciones EMEA y APAC en Veracode.
Más en Veracode.com
Acerca de Veracode
Veracode significa seguridad de software inteligente. Veracode Software Security Platform encuentra fallas y vulnerabilidades en cada etapa del ciclo moderno de desarrollo de software. Gracias a la poderosa IA entrenada en trillones de líneas de código, los clientes de Veracode corrigen errores más rápido y con alta precisión.