Los Test de Intrusión; una estrategia preventiva

A pesar de no ser uno de los servicios considerados como críticos por muchos directivos, los test de intrusión son básicos para la seguridad lógica de los sitemas críticos de una organización y así se harán valer en el futuro. Asi lo demuestran una y otra vez los diferentes estudios que arrojan resultados tan significativos como los últimos conocidos de un estudio realizado por Forrester Consulting a instancias de Veracode y por título "Application Risk Management in Business Survey". El estudio ha sido realizado sobre 200 empresas de diferentes áreas de negocio en EE.UU. y el Reino Unido. Algunos de los resultados más significativos de este estudio son los siguientes (aquí se pueden encontrar más):

• Más del 62% de los encuestados han sufrido algún problema de seguridad en los últimos 12 meses provenientes del aprovechamiento de fallos en sus aplicaciones críticas de negocio.
• Aunque las compañías son conscientes de la criticidad de las aplicaciones que soportan sus procesos de negocio, la confianza que se puede depositar en ellas con respecto a su seguridad es poca.
• Las compañías no están haciendo lo suficiente para asegurar los niveles de seguridad de las aplicaciones de código abierto, las programadas por un tercero o las comerciales.
• Tan sólo un 34% de las compañías disponen de un proceso de desarrollo de software que integra la seguridad de las aplicaciones.
• Sólo el 13% de los encuestados conoce el nivel de seguridad de las aplicaciones críticas de su negocio.

La referencia más cercana de la que dispongo en España es el "Estudio sobre el sector de la Seguridad TIC en españa" de Septiembre de 2008, realizado por INTECO y que no llegando a disponer de estadísticas de este tipo (ya me gustaría a mi saber como nos encontramos en españa en este aspecto), expone conclusiones como la siguiente:

En España, aún está por materializarse el cambio de más alcance en la concepción de la seguridad: el que conlleva pasar de una mentalidad reactiva a una proactiva, Sólo las grandes organizaciones, fundamentalmente las de ciertos sectores (banca, sanidad, defensa), tienen una cultura proactiva de la seguridad. En general, predomina una concepción en la que pesan las medidas de protección que no requieren intervención del usuario, soluciones de “instalar y olvidarse” frente a una concepción de la seguridad basada en el fomento de los comportamientos personales y organizativos que la mejoran.

Dentro de esta cultura proactiva se enmarcan los test de intrusión que se encuentran recogidos en ISO 27001 en el bloque 12, control "12.6.1 Control de las Vulnerabilidades Técnicas" y a los que se les debe dar por parte de la organización la importancia que merecen.

La seguridad proactiva en aplicaciones tiene dos vertientes principalmente, la seguridad integrada en todos los aspectos del SDLC o ciclo de desarrollo del software y los test de intrusión para tratar de anticiparnos al descubrimiento de una nueva vulnerabilidad, o una antigua no parcheada, por alguien malintencionado. ISO 27001 dedica un bloque completo, el anteriormente mencionado a todos los aspectos de seguridad que es necesario contemplar en relación a las aplicaciones, otorgándole la debida relevancia. Sin duda alguna cada uno de los apartados de ese bloque da para muchos post.

Salu2!