Canal de Telegram

10 abr 2011

Segu-Info » , » Razones por las que no se eliminan las vulnerabilidades en las aplicaciones web

Razones por las que no se eliminan las vulnerabilidades en las aplicaciones web

10 abr 2011, 8:58:00 a.m.   3 comentarios
  ,  
Si te interesa el tema de desarrollo seguro en aplicaciones recomendamos mirar el Curso de Desarrollo Seguro y Modelado de Amenazas aplicado Ciclo de Vida del Desarrollo del Software (SDLC) de Segu-Info.

El reciente estudio publicado por WhiteHat Security denominado "WhiteHat Website Security Statistic Report", nos ofrece entre muchos otros datos interesantes tomados de un estudio estadístico tomado de 3,000 websites a través de 400 organizaciones, el resultado de las razones por las cuales las vulnerabilidades de los sitios de dicho estudio no fueron corregidas a tiempo.

A continuación me permito traducirlas para ustedes para que puedan comentarlas y estudiarlas:

Factores que inhiben a las organizaciones a remediar las vulnerabilidades de sus aplicaciones web:
  • Nadie en la organización entiende o es responsable de mantener el código.
  • Nadie en la organización conoce o entiende los aspectos de la vulnerabilidad.
  • Mejoras en las características de la aplicación se priorizan por delante de los parches de seguridad.
  • Falta de presupuesto para solucionar los problemas.
  • El código afectado es propiedad de un tercero que no responde.
  • Sitio web será dado de baja o sustituido "pronto ". Es necesario acotar, que algunos de los sitos que presentaron esta razón se mantuvieron en línea por más de dos años.
  • El riesgo de la explotación de la vulnerabilidad es aceptado.
  • Solución de la vulnerabilidad entra en conflicto con negocios en proceso.
  • El cumplimiento de las normas vigentes no requiere la eliminación de la vulnerabilidad.
Es muy probable que ustedes hayan usado o escuchado estas razones en más de una ocasión. Lo que definitivamente es cierto es que el estudio también refleja en una de sus lecciones lo siguiente:

La explotación de una sola vulnerabilidad en una aplicación web es suficiente para perturbar de manera significativa la línea de negocios, causar la pérdida de datos, sacudir la confianza del cliente, y mucho más. Por lo tanto, las vulnerabilidades mientras antes se identifiquen y más rápido que se eliminen más corta será la ventana de oportunidad para que un atacante malicioso pueda explotarlas.

Fuente: Tecnologías Web

Suscríbete a nuestro Boletín

3 comentarios:

  1. Anónimo13 de abril de 2011, 4:16 a.m.

    Completamente de acuerdo, suele priorizarse el negocio a la seguridad; visto que ésta no reporta beneficios tangibles. Además las vulnerabilidades/agujeros se minimizan hasta que se convierten en prioritarias, es decir, hasta que es demasiado tarde porque ya se han sido explotadas.

    ResponderBorrar
  2. Anónimo6 de junio de 2011, 11:55 a.m.

    Es verdad, priorizan el negocio siempre, ahora, ante un problema de seguridad, cuando se pierde todo o parte, putean hasta en arameo. Dicen que el que se quema con leche ve una vaca y llora, quizas muchas empredas deben pasar por esto para darse cuenta lo que la seguridad significa.

    ResponderBorrar
  3. Unknown31 de julio de 2017, 10:38 p.m.

    Me ha tocado ver este comportamiento en algunos sectores de la industria y al final tratan de contener todo con un control lógico

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!