Las tiendas de aplicaciones tienen un nivel implícito de confianza asociado con ellas, lo que significa que rara vez leemos la letra pequeña de los términos y condiciones. Es fácil suponer que debido a que están alojadas por una marca conocida, las aplicaciones deben ser seguras, robustas y de buena reputación.
Si bien en muchos casos esto es cierto, algunas aplicaciones son consciente o inconscientemente maliciosas. Las aplicaciones pueden recopilar información del usuario, integrar y compartir datos con otras aplicaciones y proveedores, y pueden contener vulnerabilidades que permitan explotarlas directamente.
La tecnología y la cibernética son complejas, por lo que no es realista esperar que la mayoría de las personas estén al día con las últimas capacidades, procesos y preocupaciones de seguridad. Cuando su hijo le pregunta a un padre: “¿Puedo descargar esta aplicación en mi teléfono?”, Debe haber una forma de señalización para ayudarlos a tomar una decisión informada. Todo lo que alguien tiene hoy es información sobre cómo se ve la aplicación, el nombre de la aplicación y las reseñas. Esto simplemente no es suficiente.
Innovación versus seguridad
Si bien la seguridad es primordial, es importante no desalentar la innovación. Es fantástico que cualquiera pueda acceder a un paquete de codificación básico para crear una aplicación. Sin embargo, se necesita una forma de generar mayor confianza y seguridad. Debe haber un conjunto mínimo de estándares y requisitos para garantizar que las aplicaciones sean aptas para su propósito y sean ciberseguras. Si bien esta responsabilidad recae en el desarrollador de la aplicación, también debe ser evaluada, asegurada y señalizada por otras partes para garantizar que tenga sentido para el consumidor de la aplicación.
La industria de la seguridad cibernética ha estado realizando pruebas y garantías de seguridad cibernética en forma de pruebas de penetración y revisión de código durante muchos años. La mayoría de las aplicaciones conocidas han superado varias rondas de evaluación para verificar tanto la funcionalidad como la seguridad cibernética. Pero aunque estas aplicaciones se evalúan con frecuencia, no hay consistencia. Algunas organizaciones confían en herramientas, algunas tienen una metodología, algunas llevan a cabo una evaluación de alto nivel y otras realizan un análisis exhaustivo de raíz y rama.
Se lanzan frases como revisión de seguridad, revisión de aplicaciones, prueba de penetración y actividad de garantía técnica, pero no tienen un significado coherente. Como resultado, las evaluaciones de seguridad son enormemente inconsistentes y dependen de factores como el evaluador, la herramienta, la metodología, el tiempo aplicado e incluso el año realizado.
Claramente, una evaluación es mejor que ninguna evaluación, pero la industria debe unirse para construir algo que sea consistente, repetible, basado en riesgos y escalable. Un proveedor o una herramienta de la empresa de seguridad A debería poder realizar las mismas pruebas que la empresa B, con una metodología coherente para llegar a la misma conclusión. Y no solo los resultados deben ser consistentes, sino que deben presentarse de una manera coherente y escalable.
Debemos hacer que la seguridad de las aplicaciones sea escalable. Eso significa identificar un conjunto mínimo de estándares y requisitos para cumplir. También necesitamos crear un marco de informes complementario que sea hipercalculable y legible por interfaces de programación de aplicaciones (API) y máquinas. Esto necesita identificar claramente qué se ha evaluado, qué se ha identificado y cuáles son las conclusiones o resultados.
Las industrias de desarrollo de aplicaciones y seguridad cibernética deben trabajar juntas para lograr estos objetivos. Solo si nos enfocamos en los estándares y aprovechamos los marcos de informes coherentes, podremos generar resultados de seguridad cibernética más coherentes y generalizados.
El objetivo no es que las organizaciones que brindan seguridad de aplicaciones pierdan identidades o su valor agregado. Tener la capacidad de presentar resultados en una variedad de enfoques diferentes, según la aplicación, la audiencia y el alcance, seguirá siendo posible, por ejemplo. Sin embargo, es esencial un conjunto mínimo de controles y estándares de informes consistentes en todas las plataformas, procesos y marcos de prueba.
Este enfoque impulsará tanto la mejora como la coherencia entre las aplicaciones. Sin embargo, los grandes mercados digitales deben informar a los consumidores cuando una aplicación es segura. Hay muchas maneras diferentes de lograr esto. En lo más básico, un pulgar hacia arriba/pulgar hacia abajo es útil. Alternativamente, los mercados podrían desarrollar un sistema de calificación más granular.
El momento de que la industria actúe es ahora.
En todo el mundo, los gobiernos y los reguladores están analizando los mercados digitales para identificar formas de desarrollar prácticas de seguridad mejores y más consistentes. Aunque la regulación puede no estar en el horizonte hoy, es probable que se emitan más guías y recomendaciones para los mercados digitales, con la intención de impulsar la mejora.
En una cadena de suministro global e interconectada, esto podría resultar en que los gobiernos establezcan diferentes requisitos. Esto, a su vez, podría exacerbar la incoherencia y las desviaciones de los objetivos previstos de la estandarización. Por lo tanto, está dentro del don de la industria encontrar una solución a este problema en sí. A través de la colaboración, el compromiso y el diálogo, la industria puede construir estándares de manera colectiva, brindar evaluaciones consistentes y proporcionar señales consistentes a los consumidores sobre la eficacia de la postura de seguridad de una aplicación.
Cresta Recientemente estableció una relación con el Proyecto de seguridad de aplicaciones web abiertas (OWASP) y lanzó su Estándar de verificación OWASP (OVS) para los usuarios que se embarcan en este viaje. Más información está disponible aquí.
Rowland Johnson asumió como presidente de Crest en 2021, habiendo trabajado anteriormente como director de desarrollo internacional de la organización. Anteriormente fue fundador y director ejecutivo de Nettitude, un proveedor de servicios de pruebas de penetración, cumplimiento y gestión de riesgos.
