Las pruebas de seguridad deben ser más rigurosas para garantizar el cumplimiento
- Seguridad Inteligente
Más allá de programar el tiempo y determinar los mejores procesos para las pruebas de seguridad, las empresas enfrentan una mayor presión por parte de sus propias juntas y de los reguladores para mantener el cumplimiento de los estándares de seguridad.
Las prácticas descritas por regulaciones tales como GDPR e HIPAA ahora requieren o recomiendan auditorías más frecuentes con pruebas de penetración. Para hacer frente a estas demandas, muchas compañías están recurriendo a un proceso más riguroso y continuo de pruebas de seguridad, según los nuevos resultados de una encuesta.
Como se detalla en el Informe de pruebas de seguridad y estado de cumplimiento de 2020, el 44% de los encuestados dijo que realizaba pruebas de seguridad mensualmente para comprender y evaluar mejor su nivel actual de riesgo de seguridad. Alrededor del 30% dijo que realiza tales pruebas trimestralmente, mientras que el 9% lo hace cada seis años y el 10% solo una vez al año.
Pero las pruebas de seguridad regulares pueden ser un desafío. Aunque el 41% de los encuestados dijo estar satisfecho con su proceso actual para las pruebas de cumplimiento de seguridad, el 59% reconoció ciertos problemas.
El mayor desafío es el gasto total, ya que las empresas deben tener en cuenta el coste de la actividad de prueba, el de la remediación, el de escalar de manera eficiente, el de integrarse con sus procesos DevOps y las tuberías de software, y el coste de tratar con falsos positivos o problemas mal informados.
Otros escollos reportados por los encuestados incluyen el tiempo requerido para programar las pruebas de seguridad, la capacidad de administrar probadores, la calidad de las pruebas y el tiempo dedicado a las pruebas.
Una prueba de seguridad típica debería tomar una o dos semanas para permitir suficiente tiempo para el análisis. Pero entre los encuestados, el 41% emplea menos de ocho horas en una prueba típica, el 30% de 9 a 20 horas, el 13% de 21 a 41 horas y el 9% de 41 a 80 horas. Solo el 7% pasa más de 80 horas.
El bajo número de horas dedicadas a cada prueba podría ser el resultado de presupuestos limitados y tamaños de equipo pequeños, dice Synack, especialmente si los empleados tienen que manejar una variedad de activos comerciales. Otra causa podría ser la dificultad de encontrar proveedores de alta calidad para ayudar con las pruebas.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.