Seguridad: una prioridad para las herramientas de código bajo

Cada vez que una organización introduce aplicaciones externas o cualquier integración de API de terceros en un entorno, la organización depende completamente de la implementación de seguridad del proveedor. Esto es especialmente cierto cuando se combinan varias soluciones para crear un producto o servicio unificado. Si el proveedor no se toma en serio la seguridad, otras partes de una solución podrían estar expuestas a riesgos debido a una debilidad en otra área.

Los problemas pueden entrar de forma intencionada o no, como se demostró con la vulnerabilidad de Apache Log4j. Se descubrió que el error en esta rutina de uso común tiene un enorme potencial para los ataques de ciberseguridad. 

Las organizaciones no pueden hacer suposiciones sobre la seguridad de cada herramienta, solución o plataforma que incorporan a su entorno. Deben completar su propia diligencia debida para la seguridad en la canalización de desarrollo de software o cada vez que se presente una aplicación o herramienta de terceros.

Un paso crítico para abordar la seguridad es incorporar DevSecOps y cambiar la seguridad que queda en la tubería de desarrollo de software. Adoptar un enfoque de cambio a la izquierda e implementar la seguridad antes y con más frecuencia en el proceso de DevOps puede ayudar a detectar más vulnerabilidades potenciales. Es fundamental introducir DevSecOps temprano en el ciclo de desarrollo, o las organizaciones corren el riesgo de perder un error o una vulnerabilidad. En el ciclo de desarrollo, la seguridad no es un escenario antivirus; todo el código debe ser escaneado en busca de vulnerabilidades.

Las organizaciones también deben emplear la debida diligencia al explorar opciones y soluciones para incorporar a sus entornos. Busque soluciones centradas en la seguridad. Antes de integrar cualquier solución de código bajo, examine el enfoque de seguridad del proveedor.

Algunas medidas de seguridad a tener en cuenta al considerar proveedores o soluciones incluyen:

• Asegúrese de que estén utilizando los modelos OAuth/2 más recientes tanto para la seguridad de cliente a servidor como para la seguridad de servidor a servidor o un estándar equivalente.
• Todas las comunicaciones deben utilizar al menos TLS 1.2 (seguridad de la capa de transporte) y cumplir con los estándares de la industria para certificados y claves de cifrado.
• Todos los hash deben usar los estándares actuales aceptados con HMAC, deben hacer cumplir las reglas de seguridad en las contraseñas, como solo almacenar hashes de contraseña y requerir 2FA si interactúan directamente con las cuentas de los clientes.

Las plataformas y herramientas de código bajo tienen la capacidad de acelerar los esfuerzos de transformación digital sin tener que depender de soluciones locales codificadas a mano. El potencial de ahorro de tiempo y ahorro de costos es significativo, pero es importante que las organizaciones se aseguren de no comprometer la seguridad al elegir soluciones.

Más información 

 

CyberRes es la unidad de negocio de Micro Focus que busca ayudar a los clientes a mejorar su ciberseguridad y acelerar la confianza, la fiabilidad y la supervivencia en tiempos de adversidad, crisis y volatilidad empresarial. ¿Quieres conocer más sobre CyberRes? Puedes consultar este enlace