‘Cuando una organización pierde datos, pierde dinero’

programasEXPERTO DICE QUE VULNERABILIDAD EN LAS APLICACIONES WEB SE TRADUCE EN PÉRDIDAS ECONÓMICAS

Santo Domingo.Tener un software inseguro, que se desarrolla y entra a producción sin pasar por un proceso de auditoría en el que se verifiquen las principales vulnerabilidades, debilita una organización o empresa y causa pérdidas económicas y de confianza a los clientes e inversionistas.

El ingeniero de Sistemas y Computación con especialidad en Alta Gerencia, Pedro Héctor Castillo, explica: “Cuando una organización pierde datos, pierde dinero. Basta recordar el caso de Sony que reportó pérdidas por alrededor de 2,000 millones de dólares por los episodios de hackeo en su red PlayStation tan solo en 2011. En el 2014 el fraude en el comercio electrónico en la región alcanza los 430 millones de dólares y el robo a los bancos supera los 50 millones de dólares por año”.

Afectados
Castillo señala que Brasil, Argentina, Colombia, México y Chile son los países más afectados económicamente, y está también la pérdida de imagen y de confianza, que no se contabiliza.

“A medida que la infraestructura digital se hace cada vez más compleja e interconectada, la dificultad de lograr la seguridad en las aplicaciones aumenta exponencialmente, lo que trae un aumento en el riesgo de la pérdida de datos sensibles”, comenta Castillo.

El experto, miembro de la Cámara de las Tecnologías de la Información y la Comunicación de la República Dominicana (Cámara TIC-RD), que se apresta a realizar el “Congreso de Ciberseguridad” en abril, dice que es constante el cambio de escenario en las amenazas para la seguridad en las aplicaciones, donde hay tres factores claves: los avances hechos por los atacantes, la liberación de nuevas tecnologías con nuevas debilidades y los sistemas cada vez más complejos.

Riesgos
¿Qué son los riesgos de seguridad en aplicaciones? Los atacantes pueden potencialmente usar rutas diferentes, a través del código para hacer daño a la organización, explica Castillo. Cada ruta representa un riesgo que puede o no ser lo suficientemente grave como para justificar la atención. A veces, estas rutas son fáciles de encontrar y explotar, y a veces son muy difíciles.

Del mismo modo, el daño que se causa puede ir desde tomar la base datos de clientes de su organización hasta solo tomar los reportes de facturas con comprobante fiscal de algún período del área de contabilidad.

Para determinar cuáles son estos riesgos de su empresa, “puede evaluar la probabilidad asociada a cada agente de amenaza, vector de ataque y debilidades de seguridad y combinar estos resultados con los controles implementados, el impacto técnico que podría tener el ataque y el impacto que esto tendría en EL NEGOCIO. En conjunto estos factores determinan el riesgo global que tiene su organización al ser impactada por un ataque cibernético desde una de las aplicaciones web de su organización”.

Dice que los principales riesgos de seguridad en aplicaciones son: inyección, tales como SQL, OS Y LDAP, pérdida de autenticación y gestión de sesiones, secuencia de comandos en sitios cruzados, referencia directa insegura a objetos, configuración de seguridad incorrecta, exposición a datos sensibles, ausencia de control de acceso a funciones, falsificación de funciones en sitios cruzados, utilización de componentes con vulnerabilidades conocidas, redirecciones y reenvíos no validados, entre otras.

(+)
RECOMENDACIONES A MEDIANO Y LARGO PLAZO

– Crear un programa de educación continuada a los equipos de desarrollo de aplicaciones, auditoría informática, seguridad tecnológica e informática forense, logrando certificar por lo menos a una persona de la organización.

– Desplegar en la organización alguna plataforma que se rija por las mejores prácticas y que le permita auditar de forma automatizada las vulnerabilidades de los códigos fuentes que produce la organización, así como del análisis de los códigos ejecutables que se adquieren de terceros.

– Ordenar certificaciones de cero vulnerabilidades, así como solicitar un informe auditado de los resultados de las auditorias del software que el proveedor ofrece a la organización.

Listindiario.com