Los riesgos de seguridad ocultos de las aplicaciones comerciales



Las empresas de hoy dependen de aplicaciones de misión crítica para mantener su productividad, ayudar a brindar un mejor servicio a los clientes y mantenerse al día con la demanda. Es importante que también conozcan los riesgos.

De acuerdo a 451 Investigación, El 64% de los ejecutivos de todo el mundo y el 74% de los de EE. UU. Creen que cumplir con los requisitos de cumplimiento es una forma eficaz de mantener la seguridad de los datos. Esta estadística es sorprendente. Una organización que solo basa la seguridad de sus datos en estándares de cumplimiento puede crear brechas en la protección, un aumento de los riesgos y costosas filtraciones de datos.

De hecho, un Informe 2019 de IDC muestra cuán susceptibles pueden ser los datos para los piratas informáticos, al descubrir que el 64% de las aplicaciones de misión crítica, como los sistemas de planificación de recursos empresariales (ERP), se han violado en los últimos 24 meses. Estas infracciones comprometen información privada confidencial, incluidas ventas, recursos humanos, información de identificación own de los clientes, propiedad intelectual y datos financieros.

La verdad es que vivimos en un mercado con riesgos crecientes de ataques cibernéticos en las funciones comerciales centrales. Ya sea que tengan la tarea de proteger y adherirse a los estándares para aplicaciones de software program como servicio o sistemas ERP, los equipos de seguridad deben comprender los riesgos ocultos de seguridad y cumplimiento de las aplicaciones comerciales de misión crítica.

Evaluaciones en silos e incompletas
Hoy en día, cada organización realiza auditorías y evaluaciones de seguridad de manera diferente. Tome las auditorías internas, por ejemplo. Una organización llevará a cabo una evaluación de riesgos de una manera specific basada en un conjunto específico de criterios. Lo mismo ocurre con la seguridad, TI, gestión de riesgos y una gran cantidad de otros departamentos. Cada uno de estos grupos piensa en el riesgo de manera diferente y puede ver el riesgo de aplicaciones críticas para el negocio a través de una lente completamente diferente. La seguridad puede centrarse en las vulnerabilidades, la TI puede centrarse en la disponibilidad y los equipos de finanzas y auditoría pueden centrarse en la integridad de los estados financieros y los controles internos sobre los informes financieros. Cada uno de estos viene con un conjunto único de riesgos que mitigar.

Si bien una evaluación integral de riesgos puede parecer una buena notion para una organización, puede haber una falta de comunicación y estandarización entre los departamentos, lo que a menudo conduce a informes aislados. Esta alineación parcial hace que sea imposible tener una imagen completa de los riesgos y vulnerabilidades de las aplicaciones y la empresa.

Riesgos ocultos y perdidos
¿Cómo se ven estas evaluaciones en silos en la vida actual? Desde una perspectiva de seguridad, es possible que los equipos evalúen la aplicación a través de pruebas de penetración, análisis de vulnerabilidades y parches, revisiones de códigos personalizados y vigilancia del panorama de amenazas. Estas comprobaciones ayudan a los equipos de seguridad a descubrir vulnerabilidades conocidas y potencialmente desconocidas que afectarían la postura de seguridad common de la aplicación y la organización, pero esto es solo una pieza del rompecabezas.

Cuando las organizaciones miran aplicaciones de misión crítica desde una perspectiva de auditoría, generalmente se enfocan en un par de áreas. El aprovisionamiento de usuarios es un objetivo principal, que cubre tareas como agregar y eliminar usuarios, identificar qué empleados son «superusuarios» y establecer visibilidad de roles y permisos en constante cambio. La gestión del cambio es otra área de enfoque, que cubre cómo, cuándo y dónde se está produciendo el cambio en una aplicación.

Por ejemplo, si un empleado solicita un cambio en la aplicación comercial, como la necesidad de un nuevo informe de ingresos por geografía, TI verificará los privilegios del usuario para ver si esa persona tiene la aprobación o autoridad delegada apropiada para ver los datos, luego desarrollará el código para el informe personalizado, pruebe el código y asegúrese de que el empleado obtenga la información correcta al generar el informe. Además, TI agregará un nuevo privilegio al usuario para ejecutar ese nuevo informe.

Cada paso está documentado en un ticket, por lo que las empresas pueden revisar fácilmente el cambio. ¿Hubo una solicitud? ¿Fue desarrollado y probado? ¿La persona que desarrolló y probó la aplicación tenía los permisos necesarios para llevarla a producción? Esto proporciona una cadena straightforward de tickets que muestran evidencia de que se siguió el proceso correcto, pero no aborda específicamente los cambios en sí.

Sin embargo, actualmente ningún programa considera los siguientes riesgos, lo que crea un gran punto ciego de seguridad en la industria:

  • Administración de autorización: ¿Un usuario con altos privilegios estaba siguiendo las pautas necesarias? ¿Pueden ejecutarlo otros usuarios que no son de producción?
  • Administración de interfaces: ¿Pueden los usuarios de otros sistemas ejecutar la nueva funcionalidad de forma remota? ¿Cómo podemos limitar ese tipo de acceso?
  • Desarrollo de código personalizado: ¿El código generado para una solicitud en unique realmente hace lo que dice? ¿El nuevo código siempre tiene el mismo comportamiento independientemente de quién lo esté ejecutando?
  • Migración de código: Cuando el código se introduce en la producción, ¿pasa por alto las autorizaciones y los controles? ¿La migración incluye solo el nuevo informe? ¿O hay algo más como parte de la migración?

Estos son solo algunos de los riesgos ocultos dentro del código y el proceso de implementación de aplicaciones comerciales de misión crítica que se pueden abusar y utilizar para eludir autorizaciones y controles. Por ejemplo, como se citó en el ejemplo anterior, una persona podría programar el código personalizado para enviar el informe a un correo electrónico own cada vez que se genere, creando una solución fácil para el uso de información privilegiada. Ese cambio, si no se detecta, existirá en ese código para siempre.

Unificando procesos y procedimientos
Los equipos de seguridad deben unificar los procesos y procedimientos asociados con las brechas en el cumplimiento, la protección y el riesgo de las aplicaciones.

El primer paso necesario es comenzar a involucrar a las unidades de negocios multifuncionales, como los equipos de finanzas, auditoría, TI y cumplimiento para abordar las evaluaciones incompletas y las vulnerabilidades faltantes. Piense en la creación de un comité directivo que será el propietario del proyecto y garantizará su éxito continuo.

Además, fuera del soporte del departamento, las pruebas de aplicaciones y el software de seguridad líderes pueden ayudar a las organizaciones a comprender y realizar un seguimiento de los comportamientos básicos de las aplicaciones para señalar solicitudes que podrían estar fuera de la norma. Estos sistemas se pueden configurar para evitar que se produzcan ciertos cambios o notificar a los equipos cuando lo hagan, proporcionando la visibilidad de la que carecen las organizaciones en la actualidad.

Al igual que con toda estrategia, también es importante comprender que cada empresa tendrá un enfoque diferente basado en necesidades comerciales únicas. Los equipos de seguridad deben comenzar con las aplicaciones y los datos más confidenciales. A partir de ahí, divida el enfoque en trozos pequeños, fáciles de digerir y del tamaño de un bocado.

En lo que respecta a medir el éxito, las reuniones periódicas y la medición del progreso frente a los entregables pueden ayudar a garantizar que los riesgos se mitiguen y las aplicaciones de una organización estén protegidas.

Las empresas de hoy dependen de aplicaciones de misión crítica para mantener su productividad, ayudar a brindar un mejor servicio a los clientes y mantenerse al día con la demanda. Al abordar los problemas de manera temprana, preparar el escenario con un comité de dirección dedicado y descubrir riesgos desconocidos más rápidamente, las empresas pueden continuar teniendo éxito sin dañar la marca, los resultados finales o los procedimientos de cumplimiento.

Brian Tremblay es el líder de prácticas de cumplimiento en Onapsis, donde es responsable de ayudar a los clientes a comprender y navegar los desafíos y oportunidades creados por la creciente superposición de cumplimiento, ciberseguridad y continuidad del negocio relacionados con TI en typical … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original