Informe: Altos índices de vulnerabilidad en aplicaciones gubernamentales

23. julio 2023
| No hay comentarios
Informe: Altos índices de vulnerabilidad en aplicaciones gubernamentales

Compartir publicación

La 13.ª edición del Informe sobre el estado de la seguridad del software publica las tendencias en el panorama del software y cómo evolucionan las prácticas de seguridad. Algunos de los resultados son preocupantes: en el 82 % de las aplicaciones desarrolladas en el sector público se descubrió al menos una vulnerabilidad de seguridad, en comparación con el 74 % en las empresas privadas.

El estudio State of Software Security encontró que las aplicaciones del sector público tienden a tener más vulnerabilidades de seguridad que las aplicaciones del sector privado. La mayor cantidad de errores y vulnerabilidades en las aplicaciones se correlaciona con un mayor riesgo de seguridad. El estudio se realizó en el contexto de una serie de iniciativas gubernamentales globales para mejorar la ciberseguridad, como la Ley de Resiliencia Cibernética de la UE, que tiene como objetivo introducir requisitos mínimos de seguridad adicionales para productos con elementos digitales. El análisis de datos de más de 27 millones de escaneos en 750.000 XNUMX aplicaciones formó la base del último informe anual de Veracode

Muchas aplicaciones con agujeros de seguridad

🔎 El sector público ha tenido menos vulnerabilidades a lo largo de los años que otras organizaciones (Imagen: Veracode).

Los investigadores encontraron que alrededor del 82 por ciento de las aplicaciones desarrolladas por organizaciones del sector público tenían al menos una vulnerabilidad de seguridad. Esto se compara con el 74 por ciento de las empresas privadas. Los datos para el estudio se recopilaron en los últimos 12 meses. Según el tipo de vulnerabilidad identificada, había entre un 12 % y un 7 % más de probabilidad de que se hubiera integrado una vulnerabilidad en las aplicaciones del sector público en los últimos 12 meses.

Los números por sí solos no reflejan las consecuencias que ocurren cuando los piratas informáticos explotan errores y vulnerabilidades. En agosto del año pasado, por ejemplo, un ataque a la cadena de suministro en la Cámara de Comercio e Industria de Alemania significó que tuvieron que cerrar por completo sus sistemas de TI y servicios digitales, teléfonos y servidores de correo electrónico. Los servicios esenciales volvieron a estar disponibles poco después del ataque, pero pasó más de un mes antes de que se restaurara la funcionalidad completa.

Graves vulnerabilidades en el sector público

Cuando se trata de vulnerabilidades de "gravedad alta", los sectores públicos tienen la ventaja. Durante el período de 12 meses del estudio, el porcentaje de aplicaciones con vulnerabilidades críticas de seguridad fue menor en el sector público (16,5 %) que en las empresas privadas (19 %). Las vulnerabilidades de mayor gravedad tienen un mayor potencial de afectar a todo el sistema si se explotan.

Las pruebas de aplicaciones modernas fomentan el uso de herramientas de análisis de seguridad, como las pruebas de seguridad de aplicaciones estáticas (SAST) y el análisis de composición de software (SCA). Diferentes tipos de escaneos pueden descubrir diferentes tipos de vulnerabilidades. SAST y SCA encontraron un porcentaje menor de defectos en aplicaciones del sector público que en aplicaciones de empresas privadas.

La precaución es mejor que la paciencia

Hay una gran diferencia entre los sectores público y privado cuando se trata de la velocidad a la que los escaneos encuentran nuevas vulnerabilidades en el software obsoleto. Para aplicaciones que han estado en uso durante 5 años, las deficiencias de seguridad aumentan en el sector privado, mientras que disminuyen en las organizaciones públicas. Esta tendencia muestra que las organizaciones del sector público prestan atención a la seguridad de sus aplicaciones durante varios años y no solo al comienzo del ciclo de vida.

El 'Informe sobre el estado de la seguridad del software en el sector público de 2023' recomienda cuatro acciones que los organismos gubernamentales pueden tomar para mejorar su postura en materia de ciberseguridad:

  • Ponerse al día: los retrasos de errores conocidos deben corregirse lo antes posible.
  • Escaneo frecuente: el escaneo irregular hace que sea más difícil corregir errores y genera más retrasos.
  • Automatizar: al automatizar las pruebas a través de API, se evitan mejor los errores y defectos en las aplicaciones.
  • Adición de DAST a la pila de seguridad: utilice el análisis dinámico para descubrir vulnerabilidades que otros tipos de análisis pasan por alto.

“El sector público ha avanzado mucho en la mejora de la seguridad de sus aplicaciones. Sin embargo, aún queda mucho trabajo por hacer para permitir que las autoridades mejoren su seguridad cibernética y eviten nuevas amenazas. Al centrar sus esfuerzos de seguridad en la causa raíz de la mayoría de las infracciones cibernéticas, la capa de aplicación, pueden realizar mejoras significativas. Los escaneos regulares que utilizan varios métodos de prueba y la subsiguiente corrección de vulnerabilidades allanarán el camino hacia un futuro más seguro para el sector público”, dijo Julian Totzek-Hallhuber, Gerente de Arquitectos de Soluciones EMEA y APAC en Veracode.

Más en Veracode.com

 

Acerca de Veracode

Veracode significa seguridad de software inteligente. Veracode Software Security Platform encuentra fallas y vulnerabilidades en cada etapa del ciclo moderno de desarrollo de software. Gracias a la poderosa IA entrenada en trillones de líneas de código, los clientes de Veracode corrigen errores más rápido y con alta precisión.

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Cifrado de datos: más seguridad en plataformas en la nube

Las plataformas en línea suelen ser blanco de ataques cibernéticos, como ocurrió recientemente con Trello. 5 consejos garantizan un cifrado de datos más eficaz en la nube ➡ Leer más

Noticias de prensa
, , , , ,