Veracode ha publicado nuevos resultados de su décima entrega del informe sobre el Estado de la Seguridad del Software (SoSS). En ella señala que la industria financiera corrige el 76% de los fallos que tiene su software, una cifra muy por encima del promedio de todas las industrias, que se sitúa en un 56%. Sin embargo, el estudio también indica que las instituciones de servicios financieros fueron la segunda industria más lenta, por detrás del sector médico, en remediar las vulnerabilidades de las aplicaciones y del código, tardando más de dos meses (67 días) de media.
El informe hace un análisis de los niveles de deuda de seguridad, definidos como la cantidad de fallos no resueltos que se acumulan en el software a lo largo del tiempo, en el sector financiero, administraciones públicas y educación, salud, infraestructura, manufacturación, retail y tecnología.
Para Alejandro Novo, director de Veracode en España, Portugal e Italia, “el sector financiero ha experimentado una rápida transformación digital, dejando a muchas instituciones con una gran cantidad de sistemas nuevos, además de los heredados. Esto ha ocasionado grandes problemas de seguridad, lo cual es particularmente negativo dado que se trata de una industria fuertemente regulada, que almacena un amplio volumen de datos personales. Para superar estos desafíos, el sector ha tenido que mejorar sus habilidades rápidamente, y en los últimos 10 años hemos visto una gran mejora en el estado general de la seguridad de las aplicaciones dentro de la industria”.
“El informe también muestra que todavía hay un camino por recorrer para reducir la creciente deuda de seguridad que tienen estas entidades. Al igual que ocurre con las tarjetas de crédito, tener una deuda, aunque sea por un monto pequeño, pero sostenido en el tiempo, puede ocasionar graves problemas”, añade Novo.
Aunque la industria de servicios financieros no tiene la mayor deuda de seguridad, un tercio del software (36%) que utiliza tiene fallos de alto riesgo. La fuga de información (66%), los problemas criptográficos (61%) y la calidad del código (58%) son las categorías de errores más frecuentes en el sector.
En los últimos dos años, la investigación de Veracode sobre el Estado de la Seguridad del Software ha revelado pruebas contundentes de que las prácticas que usan un enfoque DevSecOps, es decir, que añaden seguridad al desarrollo de operaciones, producen beneficios sustanciales para los equipos de desarrollo que las emplean. En la edición anterior se descubrió que los programas y equipos DevSecOps más activos corrigen los fallos once veces más rápido que una organización tradicional.
La décima edición del informe SoSS de Veracode, que analizó más de 85.000 aplicaciones en más de 2.300 compañías en todo el mundo, descubrió que los equipos que escanean aplicaciones con frecuencia tienen una deuda de seguridad cinco veces menor que quienes no lo hacen o lo hacen de forma menos frecuente. Además, las organizaciones que solo se centran en arreglar los nuevos errores y descuidan los fallos antiguos tienen más probabilidad de aumentar su deuda de seguridad.