10 abr. 2011

Razones por las que no se eliminan las vulnerabilidades en las aplicaciones web

Si te interesa el tema de desarrollo seguro en aplicaciones recomendamos mirar el Curso de Desarrollo Seguro y Modelado de Amenazas aplicado Ciclo de Vida del Desarrollo del Software (SDLC) de Segu-Info.

El reciente estudio publicado por WhiteHat Security denominado "WhiteHat Website Security Statistic Report", nos ofrece entre muchos otros datos interesantes tomados de un estudio estadístico tomado de 3,000 websites a través de 400 organizaciones, el resultado de las razones por las cuales las vulnerabilidades de los sitios de dicho estudio no fueron corregidas a tiempo.

A continuación me permito traducirlas para ustedes para que puedan comentarlas y estudiarlas:

Factores que inhiben a las organizaciones a remediar las vulnerabilidades de sus aplicaciones web:
  • Nadie en la organización entiende o es responsable de mantener el código.
  • Nadie en la organización conoce o entiende los aspectos de la vulnerabilidad.
  • Mejoras en las características de la aplicación se priorizan por delante de los parches de seguridad.
  • Falta de presupuesto para solucionar los problemas.
  • El código afectado es propiedad de un tercero que no responde.
  • Sitio web será dado de baja o sustituido "pronto ". Es necesario acotar, que algunos de los sitos que presentaron esta razón se mantuvieron en línea por más de dos años.
  • El riesgo de la explotación de la vulnerabilidad es aceptado.
  • Solución de la vulnerabilidad entra en conflicto con negocios en proceso.
  • El cumplimiento de las normas vigentes no requiere la eliminación de la vulnerabilidad.
Es muy probable que ustedes hayan usado o escuchado estas razones en más de una ocasión. Lo que definitivamente es cierto es que el estudio también refleja en una de sus lecciones lo siguiente:

La explotación de una sola vulnerabilidad en una aplicación web es suficiente para perturbar de manera significativa la línea de negocios, causar la pérdida de datos, sacudir la confianza del cliente, y mucho más. Por lo tanto, las vulnerabilidades mientras antes se identifiquen y más rápido que se eliminen más corta será la ventana de oportunidad para que un atacante malicioso pueda explotarlas.

Fuente: Tecnologías Web

3 comentarios:

  1. Completamente de acuerdo, suele priorizarse el negocio a la seguridad; visto que ésta no reporta beneficios tangibles. Además las vulnerabilidades/agujeros se minimizan hasta que se convierten en prioritarias, es decir, hasta que es demasiado tarde porque ya se han sido explotadas.

    ResponderEliminar
  2. Anónimo6/6/11 11:55

    Es verdad, priorizan el negocio siempre, ahora, ante un problema de seguridad, cuando se pierde todo o parte, putean hasta en arameo. Dicen que el que se quema con leche ve una vaca y llora, quizas muchas empredas deben pasar por esto para darse cuenta lo que la seguridad significa.

    ResponderEliminar
  3. Me ha tocado ver este comportamiento en algunos sectores de la industria y al final tratan de contener todo con un control lógico

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!