Por Vladimir Villa*

Ante la presión que tienen las organizaciones por aumentar los niveles de productividad en el desarrollo tecnológico, la ciberseguridad se puede ver seriamente expuesta. Para evitar este riesgo es necesario implementar un proceso que, sin limitar el avance, se enfoque en la protección. 

Según el informe de 2020 de la Organización para la Cooperación y el Desarrollo Económico (OCDE), la estructura de Centroamérica y el Caribe está compuesta en un 99.5% por micro, pequeñas y medianas empresas. Cifra que confirma la necesidad de fortalecer la conciencia de ciberseguridad en el sector industrial de la región.

Sigue la información sobre la economía y el mundo de los negocios en Forbes Centroamérica

Las cuestiones que las organizaciones necesitan plantearse cuando construyen tecnología son: si avanzan en la dirección correcta, si la velocidad la están aplicando en los lugares indicados, y qué tipo de riesgos corren. En este sentido, la seguridad debe ser parte de todo el ciclo de desarrollo, para así tener un enfoque preventivo y proactivo.

Creando tecnología segura

Esto solo se consigue con una combinación de automatización efectiva e inteligencia humana, que resulta fundamental para detectar vulnerabilidades en seguridad y mantener reducidos los números de falsos positivos y falsos negativos.

Cuando una empresa desarrolla software, la automatización es una de las mejores maneras para acelerar los procesos; sin embargo, en términos de seguridad, esto presenta dos grandes retos: primero, están los falsos positivos, que son aquellos reportes de vulnerabilidades que, cuando se revisan manualmente, no corresponden a verdaderas vulnerabilidades (en las evaluaciones automáticas alrededor del 50% de los hallazgos no son problemas de seguridad reales).

Por otra parte, se encuentran los falsos negativos, correspondientes a las omisiones en los procesos de detección, y que llegan a representar cerca del 80% de las vulnerabilidades en los análisis de seguridad automáticos. Este es un indicador alarmante, que considerablemente puede afectar a los negocios, los cuales no identifican y por ende no resuelven la mayor parte de sus debilidades en seguridad, quedando altamente expuestos a los cibercriminales. 

Síguenos en Google Noticias para mantenerte siempre informado

Fórmula para proteger el software 

Las cinco claves para agilizar los procesos de desarrollo desde fases tempranas, moviéndose a la izquierda, y sin dejar de lado la seguridad con pruebas integrales a los repositorios y ambientes pares de los sistemas, son las siguientes:

  1. Ataque determinístico: Se trata de una fase donde de forma automática se buscan solamente las vulnerabilidades sobre las cuales no existe duda alguna de que efectivamente son vulnerabilidades.
  • ‘Triage’ al código: En este punto se trabaja para acrecentar la velocidad del factor humano mediante una herramienta basada en Machine Learning, la cual permite a hackers éticos priorizar su búsqueda y determinar las partes donde hay mayores probabilidades de que existan vulnerabilidades.
  • Equipo de ataque: Aquí ingresa el equipo de hackers expertos para atacar el software de manera dinámica y estática, a partir de la priorización reportada por la herramienta de Machine Learning, recorriendo todo el código y analizando sus funcionalidades. En esta etapa se combinan la tecnología y el talento humano, haciendo uso de diversidad de técnicas de evaluación, y soportados en multiplicidad de estándares de seguridad.
  • Equipo de fugas: Se realiza un ataque transversal por parte de un equipo independiente al que encontró las vulnerabilidades en los pasos anteriores, y se valida que no haya falsos negativos.
  • Equipo de re-ataque: Se llevan a cabo ataques adicionales sobre la tecnología para verificar el cierre de las vulnerabilidades encontradas. Todo esto antes de que el ciclo llegue a producción, para que así el software verdaderamente sea seguro.

Esta metodología permite la detección de las vulnerabilidades; se trata de un procedimiento de hacking continúo realizado de manera integral, que, con la participación de expertos en ciberseguridad, consigue determinar cuáles son los riesgos más críticos y de mayor impacto para el negocio.

*Es CEO de Fluid Attacks, compañía dedicada a realizar pruebas de seguridad al software de empresas.

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes Centroamérica.