EMPRENDER, INNOVAR, TRIUNFAR
viernes, 19 de abril de 2019
Tecnología
Cómo desarrollar una buena estrategia de seguridad Open Source
Veracode identifica los principales desafíos en el uso del código abierto ante el auge de su adopción empresarial
Redacción TICPymes16/04/2019

El software Open Source está viviendo un auténtico auge dentro del ámbito empresarial. Prácticamente cualquier compañía desarrolla sus productos y servicios utilizando componentes procedentes de este entorno. Las cifras que se manejan son asombrosas: ya hay más de 5 millones de librerías de código abierto y se espera que millones de desarrolladores liberen hasta 500 millones en la próxima década.

El uso de este tipo de código es algo muy positivo para las empresas, ya que acelera los ciclos de desarrollo de los productos y servicios, así como reduce los costes de los mismos y de las infraestructuras. Pero conlleva riesgos: al tratarse de un software colaborativo, en constante actualización y utilizado en infinidad de aplicaciones, las compañías no verifican su seguridad con el mismo nivel de detalle que si se tratara de un software desarrollado internamente. 

Claves para desarrollar una buena estrategia de seguridad

Veracode, compañía líder en ayudar a las organizaciones a dotar de seguridad al software, señala que el primer paso para asegurar cualquier software Open Source o que utiliza elementos de este tipo es que  la compañía incorpore a su filosofía empresarial la importancia de securizar dicho código. De lo contrario, el camino hacia la transformación digital probablemente estará lleno de frustraciones, problemas e incluso incidentes de seguridad. Para empeorar las cosas, estas vulnerabilidades no solo afectan únicamente a la organización, sino que también pueden suponer un problema para sus clientes.

Los desafíos relacionados con el uso de Open Source de manera efectiva y segura giran en torno a la identificación de nuevos y diferentes tipos de amenazas, riesgos y problemas con agilidad para, de una forma óptima y eficaz, tomar las medidas necesarias para abordar las vulnerabilidades antes de que sea demasiado tarde. 

Pero, ¿cómo se puede lograr? Según Veracode existen tres claves básicas para que cualquier empresa pueda desarrollar una buena estrategia desde el principio con la que minimizar los fallos en ciberseguridad:

  • Identificar y catalogar todo el código abierto, el código de desarrollo propio y el código comercial. Si una empresa no conoce todos los recursos con los que cuenta, en qué los ha utilizado y cuál es su estado de aplicación, es muy difícil que pueda elaborar una buena estrategia de seguridad. Además, una correcta catalogación de los mismos permitirá poder agilizar procesos de identificación de riesgos y vulnerabilidades y actuar con rapidez en caso de necesidad.
  • Poner en marcha herramientas y procesos con los que identificar las vulnerabilidades. No vale simplemente con ser consciente de aquello que se está manejando para evitar fallos en los sistemas, sino que es de vital importancia que los equipos incorporen a su día a día procedimientos y herramientas que les permitan ser efectivos ante ciberataques o vulnerabilidades.
  • Usar soluciones especializadas con las que abordar los riesgos y problemas. Empresas especializadas en seguridad Dev-Ops y Open Source ofrecen herramientas y sistemas que las organizaciones deben incorporar a sus procesos y equipos de trabajo para desarrollar los productos y servicios más seguros, tanto de uso interno como para sus clientes.

“El escaneo estático y dinámico de elementos y vulnerabilidades, así como establecer un marco robusto para administrar el código, usar la automatización para identificar vulnerabilidades e incorporar herramientas capaces de identificar los riesgos de las librerías de forma temprana, puede llevar al éxito en la estrategia.  Una organización que adopta este enfoque está mucho mejor equipada para usar Open Source con la máxima ventaja y el mínimo riesgo. En el mundo ‘agile’ y Dev-Ops de hoy, este nivel de protección no es simplemente una buena idea, es de suma importancia”, destaca Paul Farrington, CTO de Veracode en EMEA.