La gestión de calidad de software, incluidas las vulnerabilidades confirmadas de seguridad, tienen una relevancia estratégica. Fluid Attacks entrega 3 consejos para evitar incidentes relacionados a errores de software.
La mayoría del tiempo nuestras vidas se desarrollan sobre bases de software: al despertar revisamos nuestro smartphone, chequeamos el tráfico y el tiempo estimado de llegada de un trayecto; además un software ayuda en muchas operaciones mientras conducimos, como frenar y acelerar. Fluid Attacks, compañía dedicada a realizar pentest, entrega detalles sobre la importancia de corregir los defectos de software y los pasos que pueden tomar las empresas para prevenir desastres significativos.
En 2018 y 2019, un defecto de software causó 2 incidentes fatales en 2 aviones Boeing 737 MAX. El error afectó una alarma crucial para los capitanes, haciendo imposible maniobrar a tiempo. Luego se confirmó que el fabricante del avión conocía el defecto desde un año atrás. Por su parte, Toyota resolvió una demanda de USD 1.100 millones por un repentino problema de aceleración, en uno de sus modelos, que causó fatalidades, y que también correspondía a un error de software.
“Las vulnerabilidades confirmadas están aumentando y probablemente lo seguirán haciendo ya que cada vez existe más presión para entregar software rápido a los usuarios, y a la vez, menos recursos asignados al aseguramiento de la seguridad y la calidad del mismo. Las organizaciones pueden encontrar una ventaja competitiva al enfocar más su atención a la seguridad del software, por lo que asegurarse de que las pruebas se realicen con altos estándares y no dejarlas justo para el final del proceso, debería ser más prominente en las discusiones sobre el desarrollo y la entrega de productos y servicios”, explica Rafael Alvarez, CTO de Fluid Attacks.
Las empresas deben considerar dar más atención a su propio software a nivel estratégico, siendo una de las prioridades del CEO corregir sus defectos. A continuación, 3 pasos que se pueden realizar para prevenir accidentes:
1. Hacer preguntas simples: Plantearse interrogantes sencillos como: “¿Cuál es el porcentaje de vulnerabilidades remediadas en el sistema recientemente lanzado? o ¿Cuál es la densidad de vulnerabilidades de los diferentes productos?”, pueden
hacer que una organización sea proactiva con la gestión de la seguridad del software.
“Es importante enfocar la atención en los procesos de calidad. Además, los ejecutivos deben solicitar el estado de defectos pocos meses después de lanzar un producto de software, con la intención de prevenir incidentes que puedan tener graves consecuencias y dañar la reputación de una organización”, explica Rafael Alvarez, CTO de Fluid Attacks.
2. Sistema de control de remediación: Las preguntas son importantes, pero no son suficientes. Por esta razón debe existir un sistema de control de remediación neutral, independiente y no manipulable, que contenga el estado real de las vulnerabilidades abiertas y cerradas de un sistema; aunque en muchos casos no todos los CEO se encuentran en condiciones de evaluarlo.
“En Fluid Attacks combinamos tecnología sólida, automatización y las mejores habilidades de hackers para abordar problemas de seguridad en todo el ciclo de vida de desarrollo del software. Nuestras técnicas de ataque abarcan desde análisis de código fuente, ingeniería inversa, hasta ataques a ambientes de prueba o de producción. Centralizamos cada hueco de seguridad en nuestro sistema de gestión de vulnerabilidades confirmadas, y tenemos Reglas para clasificar y agrupar estas vulnerabilidades de manera simple, que permiten a los clientes decidir dónde comenzar a corregir los defectos”, agrega el ejecutivo de Fluid Attacks.
3. Seguridad Psicológica: Es un estado donde la gente no tiene miedo a hablar cuando es necesario y aceptar sus errores. Los equipos se sienten psicológicamente seguros cuando no esperan represalias por compartir asuntos incómodos pero esenciales con sus compañeros y jefes, como señalar algo que podría poner en peligro un proyecto justo antes de su lanzamiento.
“Para que los defectos de software y las vulnerabilidades de seguridad sean un tema clave de liderazgo, las empresas deben crear un entorno seguro en el que los equipos técnicos no duden en revelar qué está o podría estar mal. Si la gente piensa que hablar en voz alta los amenazará, estarán peligrosamente silenciados”, concluye Alvarez de Fluid Attacks.