Las pruebas de seguridad son una parte vital de la compra de software

Asegurar que todo el software que piensa adquirir haya sido probado adecuadamente no es un asunto trivial.

Es un hecho de la vida de TI que las nuevas vulnerabilidades de las aplicaciones se crean y se descubren cada día.

Por un lado, la creciente complejidad del software y de la cadena de suministro de software hace que sea casi imposible garantizar que el software está libre de vulnerabilidades. Por otro lado, las pruebas de seguridad de las aplicaciones se han vuelto mucho mejores, más baratas y más fáciles, de modo que los proveedores de software no tienen excusa para no probar sus ofertas y evitar los proverbiales “agujeros tan grandes que podría conducir un camión a través de ellos”.

Asegurar que se realicen las pruebas adecuadas a todo el software no es un asunto trivial.

La categoría de software de negocios abarca una amplia área: desde herramientas de escritorio, hasta suites de planificación de recursos empresariales (ERP); desde servicios de intercambio de archivos, hasta  gestión de relaciones con clientes (CRM) basado en software como servicio (SaaS); y desde plataformas de comercio electrónico hasta otras aplicaciones de cara al cliente que pueden incluso incluir tecnología portátil y dispositivos "algo inteligentes".

Del mismo modo, la adquisición abarca una variedad de modelos de abastecimiento empaquetados y tercerizados.

Teniendo en cuenta toda esta complejidad y variación, es vital establecer las expectativas correctas y crear un proceso sólido al adquirir software de negocios. Las siguientes son las tareas importantes, técnicas y no técnicas:

Comprometerse a hacer de la seguridad una parte de la adquisición

Al igual que con el desarrollo interno, los usuarios de negocios primero tienen que querer la seguridad como un aspecto necesario de la calidad general. Una parte crítica de la creación de este compromiso es comunicarse con ellos acerca de los riesgos y beneficios, y establecer de objetivos mutuamente acordados.

Encontrar los puntos correctos de contacto del proceso

Los controles de seguridad obligatorios en la gestión de proyectos, revisión de contratos y contratación son una necesidad. Pero ya que la disponibilidad de software gratuito y de pago a medida hace que sea fácil para los usuarios individuales de negocios adquirir el software por sí mismos, probablemente se necesitarán herramientas adicionales para descubrir el software instalado y el uso de aplicaciones de nube.

Actividades de prueba a medida para el software y el tipo abastecimiento

Todo el software debe ser probado respecto a su seguridad al menos una vez antes de entrar en producción, pero no todas las necesidades del software necesitan ser probadas con la misma frecuencia o en la misma profundidad. Busque alguna combinación de los siguientes: evidencia del proceso y prueba del proveedor; evidencia de pruebas de terceros; validaciones y certificaciones de terceros (por lo que valen); pruebas internas durante la codificación y las pruebas (por algún tercero); pruebas internas antes del lanzamiento; y pruebas de software una vez desplegado en producción. En todos los casos, haga las pruebas frente a requisitos documentados.

Ponga sus expectativas sobre el proveedor por escrito

A excepción de los productos completamente empaquetados o SaaS, cree cláusulas contractuales específicas para lo siguiente: los requisitos de seguridad; cómo el proveedor mostrará evidencia de los procesos y resultados de las pruebas de seguridad del software; los criterios de seguridad va/no va para la aceptación; en qué manera, y con qué rapidez, el proveedor comunicará el descubrimiento de vulnerabilidades no triviales; el tiempo de arreglo permisible para vulnerabilidades no triviales; y las sanciones por incumplimiento.

Prepárese para las pruebas de seguridad internas

Las organizaciones deben estar listas a realizar sus propias pruebas de seguridad de aplicaciones, tanto si utilizan un producto o un servicio para hacer esto. Cualquier implementación que no esté completamente empaquetada es candidata para una prueba interna, incluso si es solo para validar las pruebas del proveedor. Algunos de los problemas de seguridad no aparecerán hasta el despliegue en el entorno de puesta en escena o producción de una organización, por lo que las pruebas son muy deseables.

Prepare tácticas de mitigación

Dado que no se puede garantizar que la mayoría del software esté libre de vulnerabilidades, y la mayoría de vulnerabilidades descubiertas no se puede arreglar de un día a otro, la capacidad de aislar los activos vulnerables, bloquear ataques, o al menos detectar ataques es esencial como respaldo. Para completar el panorama, también puede ayudar la identificación de las vulnerabilidades de seguridad antes desconocidas.

Sea cual sea el tipo de software y el modelo de abastecimiento, las pruebas de seguridad de aplicaciones son vitales en la adquisición de software de negocios.

La información sobre cómo estructurar estas actividades de prueba se está volviendo cada vez más amplia. Mire a organizaciones como la Agencia Europea de Seguridad de Redes e Información (ENISA), el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST), el Departamento de Seguridad Nacional de Estados Unidos (DHS), el Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon, y el Proyecto de Seguridad de Aplicaciones de web abierta (OWASP) para buscar presentaciones y documentos sobre garantía de la cadena de suministro de software, y garantía de software para adquisiciones y temas relacionados.

Teniendo en cuenta toda la ayuda disponible, simplemente no hay ninguna excusa para comprar software con una seguridad de mala calidad.

Sobre el autor: Ramón Krikken es vicepresidente de investigación en el equipo de seguridad y gestión de riesgo de profesionales técnicos de Gartner.

Investigue más sobre Seguridad de la información

ComputerWeekly.com.br
Close