Los procesos de digitalización de cualquier empresa moderna no se limitan a informatizar determinados protocolos y flujos de trabajo, sino que reinventan los canales de entrada, procesamiento y salida de datos. Se basan en gran medida en intercambios de información mediante aplicaciones web y móviles con clientes y proveedores
Estas interacciones digitales proporcionan una agilidad, cercanía y personalización que antes eran impensables. La “cara digital” de la empresa, que antes era una parte más de las operaciones y en muchos casos casi de uso interno, hoy en día crece y crece al tiempo que aumenta la dimensión digital del negocio.
MS Recomienda
A medida que se digitalizan más y más interacciones, también aumenta la superficie de exposición a ataques de todo tipo y el número y dimensión de los retos a los que se enfrentan los responsables del área digital. En muchas organizaciones el principal método de protección de sus aplicaciones web y API son controles de seguridad tradicionales.
Enterprise Strategy Group ha llevado a cabo un estudio-encuesta entre 500 organizaciones de Norteamérica, Europa, Asia-Pacífico y Japón para Fastly que aportara luz sobre esta situación. El objetivo del estudio era tener una visión global de las tendencias sobre las aplicaciones web y los desafíos a los que se enfrentan las organizaciones en todo lo relacionado con la seguridad de sus aplicaciones web y API.
Estas son las principales conclusiones del informe:
- Las organizaciones tienen dificultades para mantener el grado de seguridad deseable en las nuevas arquitecturas de aplicaciones. Una de cada dos organizaciones destaca que esto se debe a que la seguridad en aplicaciones web y API es más difícil de garantizar hoy que hace dos años y a que están empleando servicios basados en Cloud pública y aplicaciones API. La popularización de las arquitecturas basadas en microservicios, apps móviles y la conexión de aplicaciones internas y externas ha hecho crecer los problemas de seguridad. En la actualidad se observa un uso creciente por parte de los cibercriminales de bots para realizar ataques sobre todos estos puntos de conexión.
- Las herramientas tradicionales no son aptas para las empresas modernas y descentralizadas. Cada avance en nuevas arquitecturas y entornos cloud aumenta la complejidad de las operaciones de seguridad. Según el informe de ESG, aunque la responsabilidad de la seguridad puede variar de una empresa a otra dependiendo de su estructura organizativa, la seguridad de las aplicaciones es un trabajo en equipo. Esto requiere de la colaboración entre áreas y que necesita de un enfoque y de soluciones de seguridad unificadas para facilitar esta tarea.
- Las herramientas de seguridad disponibles suelen crear más problemas de los que resuelven. Los principales retos son: la coordinación de tareas entre responsables de apps y de seguridad, la protección de las API y la poca visibilidad, a las que se suma el más destacado: la dificultad de correlacionar datos entre varias herramientas de un ecosistema. De media, las organizaciones emplean 11 herramientas distintas de seguridad de aplicaciones web y API, con un coste promedio de 2,6M de dólares al año.
- La cantidad de falsos positivos reportados acarrean un tiempo de inactividad comparable al de los ataques reales. Los encuestados reportaron una media de 53 alertas al día desde sus soluciones actuales de seguridad web y API. Y el 46 % informaron de un tiempo de inactividad de las aplicaciones de varios días debido a falsos positivos, lo que significa que el impacto medio del tiempo de inactividad de los falsos positivos suele ser el mismo que el de los ataques reales. La magnitud de la tarea es abrumadora y las soluciones existentes no son viables, y lo serán menos a medida que crezca el número de operaciones.
- Hay una necesidad real de disponer un enfoque moderno y unificado para garantizar la seguridad de las aplicaciones web y API. El exceso de falsos positivos hace que las herramientas de seguridad se empleen de forma limitada para no frenar el desarrollo de las operaciones. El 93% de los encuestados está interesado en soluciones consolidadas de seguridad para sus aplicaciones web y API.
Todo esto hace patente la necesidad de un nuevo planteamiento que ofrezca unas altas garantías de seguridad para las aplicaciones web y API pero que, al mismo tiempo, unifique, simplifique y renueve el planteamiento de funcionamiento de las soluciones de seguridad. Las ventajas son claras: simplificar la cantidad de herramientas a usar y establecer una relación más estratégica con un solo proveedor generalmente implicará mejores condiciones en costes de suscripción y productos. Además, con un menor número de herramientas, los costes de formación del personal se reducirán y mejorará la eficacia de estos productos. Todos estos aspectos pueden desembocar en un ahorro combinado en el aspecto operativo.
Las aplicaciones web y API modernas necesitan una seguridad moderna, adaptada a las nuevas características de este tipo de arquitecturas que exceden de lo que pueden ofrecer las soluciones tradicionales.
¿Qué características deben tener las soluciones modernas para aplicaciones web y API? El informe de ESG señala que estas son las cualidades más importantes que deben tener:
- Visibilidad y protección de API
- Cobertura para diferentes arquitecturas
- Integración con herramientas de DevOps
- Automatización y coordinación
- Actualizaciones continuas
- Bloque en función del comportamiento
Si deseas más información, puedes acceder aquí al estudio completo “Alcanzar el punto de inflexión de la seguridad en aplicaciones web y API”.
Fuente obtenida de: https://www.muyseguridad.net/2021/10/08/fastly-nuevos-retos-seguridad-en-aplicaciones-web-y-api/