Organizaciones que avanzan hacia pruebas de seguridad más rigurosas para garantizar el cumplimiento


Según una nueva encuesta de Synack, cada vez más empresas utilizan proveedores externos y pruebas de crowdsourcing para satisfacer sus necesidades de seguridad.

Manejo de la seguridad del punto final sin abrumadores profesionales con sobrecarga de información
Chris Bell, director de gestión de productos en Secureworks, describe el difícil equilibrio que se debe alcanzar para presentar información procesable a los profesionales de seguridad sin agotarlos con la sobrecarga de información.

Las organizaciones enfrentan diversas tensiones para garantizar que sus datos, infraestructura, aplicaciones y otros activos comerciales cumplan con los requisitos de seguridad necesarios.

Más allá de programar el tiempo y determinar los mejores procesos para las pruebas de seguridad, las empresas enfrentan una mayor presión por parte de sus propias juntas y de los reguladores para mantener el cumplimiento de los estándares de seguridad.

Las prácticas descritas por regulaciones tales como GDPR e HIPAA ahora requieren o recomiendan auditorías más frecuentes con pruebas de penetración. Para hacer frente a estas demandas, muchas compañías están recurriendo a un proceso más riguroso y continuo de pruebas de seguridad, según los nuevos resultados de la encuesta lanzados el 4 de diciembre por Synack.

VER: Informe especial: una estrategia ganadora para la ciberseguridad (PDF gratuito) (TechRepublic)

Como se detalla en Synack's "Informe de pruebas de estado de cumplimiento y seguridad de 2020"El 44% de los encuestados dijo que realizaba pruebas de seguridad mensualmente para comprender y evaluar mejor su nivel actual de riesgo de seguridad. Alrededor del 30% dijo que realizaba dichas pruebas trimestralmente, mientras que el 9% lo hacía cada seis años, y 10 % solo una vez al año.

Pero las pruebas de seguridad regulares pueden ser un desafío. Aunque el 41% de los encuestados dijo estar satisfecho con su proceso actual para las pruebas de cumplimiento de seguridad, el 59% reconoció ciertos problemas.

El mayor desafío es el gasto total, ya que las empresas deben tener en cuenta el costo de la actividad de prueba, el costo de remediación, el costo de escalar de manera eficiente, el costo de integrarse con sus procesos DevOps y las tuberías de software, y el costo de tratar con falsos positivos. o problemas mal informados.

Otros escollos reportados por los encuestados incluyen el tiempo requerido para programar las pruebas de seguridad, la capacidad de administrar probadores, la calidad de las pruebas y el tiempo dedicado a las pruebas.

Una prueba de seguridad típica debería tomar una o dos semanas para permitir suficiente tiempo para el análisis, dice Synack. Pero entre los encuestados, el 41% gasta menos de ocho horas en una prueba típica, el 30% gasta de 9 a 20 horas, el 13% gasta de 21 a 41 horas y el 9% gasta de 41 a 80 horas. Solo el 7% pasa más de 80 horas.

El bajo número de horas dedicadas a cada prueba podría ser el resultado de presupuestos limitados y tamaños de equipo pequeños, dice Synack, especialmente si los empleados tienen que manejar una variedad de activos comerciales. Otra causa podría ser la dificultad de encontrar proveedores de alta calidad para ayudar con las pruebas.

"Aunque estamos viendo un movimiento hacia una cultura de seguridad 24/7, 365 en organizaciones en una amplia variedad de industrias y geografías, todavía hay un amplio margen de mejora", dijo Aisling MacRunnels, directora de marketing de Synack, en un comunicado de prensa.

"Nuestra encuesta encontró que, en promedio, la mayoría de las pruebas de seguridad duran solo 20 horas", dijo MacRunnels. "A medida que el número de incidentes cibernéticos continúe aumentando, será imprescindible que los tomadores de decisiones implementen soluciones de pruebas de seguridad de forma continua con 1500-2000 horas de pruebas al año".

Las pruebas de seguridad también se han vuelto más exigentes debido a los ciclos de desarrollo de aplicaciones más rápidos. Las metodologías ágiles y DevOps están impulsando el código a la producción con mayor frecuencia, según Synack.

Como resultado, algunas organizaciones están permitiendo que sus desarrolladores realicen pruebas de seguridad para reducir los problemas de última hora y reducir los costos al encontrar errores al principio del ciclo de desarrollo.

Para ayudar con sus pruebas de seguridad, más compañías están buscando externamente. Alrededor del 43% de los encuestados dijeron que utilizaron uno o más proveedores externos de pruebas de seguridad para realizar sus pruebas de cumplimiento y seguridad.

Por lo general, las empresas confían en proveedores de seguridad externos para complementar sus propios recursos, para adquirir habilidades especializadas que no poseen internamente y para obtener una perspectiva independiente sin prejuicios internos. Los proveedores externos también se utilizan para fines específicos.

Alrededor del 63% de los encuestados dijeron que usan proveedores de seguridad externos para identificar y reducir vulnerabilidades, mientras que el 47% los usan para cumplir con los mandatos de cumplimiento.

Pero confiar en múltiples proveedores de seguridad presenta su propio conjunto de desafíos. Poco más de la mitad de los encuestados dijeron que ven una superposición en las capacidades de sus proveedores de seguridad externos.

Este tipo de superposición puede conducir a redundancias innecesarias, resultados inconsistentes y presupuestos ineficientes. En general, las empresas más grandes tienden a buscar los mejores proveedores, lo que puede conducir a un mayor número de ellos, mientras que las empresas más pequeñas gravitan más hacia socios de confianza únicos.

Finalmente, un área que está comenzando a ganar tracción es la prueba de seguridad de crowdsourcing. Entre los encuestados en empresas más grandes, el 8% dijo que había comenzado a adoptar métodos de prueba de seguridad de Crowdsourced para responder a ciertos desafíos en las pruebas de cumplimiento. Esto generalmente toma la forma de recompensas de errores que recompensan a los investigadores externos que descubren fallas de seguridad.

"La rápida aceptación de las pruebas de seguridad de crowdsourcing ha sucedido porque se ha comprobado que funciona mejor que los métodos de prueba de seguridad tradicionales y aborda la brecha de talento cada vez mayor dentro de las organizaciones", dijo Mark Kuhr, director de tecnología y cofundador de Synack, en el comunicado. .

Un enfoque útil puede ser combinar pruebas de penetración de cumplimiento más estructuradas y tradicionales con programas de recompensa por errores más estructurados pero incentivados.

Sin embargo, Synack advierte a las empresas que recuerden que no todas las pruebas de seguridad de Crowdsourced son iguales y que algunos métodos pueden presentar un mayor riesgo para las pruebas de seguridad.

Para compilar el informe, Synack encuestó a más de 311 organizaciones en América del Norte en una variedad de industrias. Entre los sectores representados en la encuesta se encontraban tecnología, gobierno, salud, tecnología de la información y servicios financieros.

Ver también

<a href = "https://tr2.cbsistatic.com/hub/i/r/2018/08/06/7ea5936a-13c5-4426-8582-32ac6782a334/resize/770x/7abbdbaecec9e59d2bfee20b7a0ffe0c/gdprlocks.jpg" target = " _blank "data-component =" modalEnlargeImage "data-headline ="

"data-credit =" Olivier Le Moal, Getty Images / iStockphoto "rel =" noopener noreferrer nofollow ">gdprlocks.jpg

Olivier Le Moal, Getty Images / iStockphoto



Enlace a la noticia original