En términos de ciberseguridad, el sector público es bastante más peligroso que el sector privado. Eso es al menos lo que se desprende de un estudio elaborado por Veracode, que revela que el 82% de las aplicaciones desarrolladas por organizaciones del sector público tiene al menos una falla de seguridad. Un porcentaje bastante mayor que el detectado en el sector privado, donde estas fallas se encuentran en un 74% de las empresas.
El porcentaje puede variar según el tipo de fallo rastreado, oscilando entre un 7% y un 12% de diferencia entre los sectores público y privado. Para extraer estas conclusiones, la empresa Veracode analizó los datos recogidos en más de 27 millones de escaneos de 750.000 aplicaciones empleadas en todas las administraciones, federales, estatales o locales.
El informe –realizado en Estados Unidos- revela una mayor debilidad del sector público respecto al privado en líneas generales, pero no todo son malas noticias para la administración. El descubrimiento de fallos de "alta gravedad" en las aplicaciones del sector público (16,5 por ciento) en un periodo de 12 meses fue menor que en las aplicaciones del sector no público (19 por ciento).
Esto es digno de mención porque los fallos de alta gravedad, cuando explotan, tienen un mayor potencial para afectar negativamente a los sistemas. Con todo, desde la compañía indican que la diferencia entre ambos sectores sigue siendo muy importante. “Como administradores de la seguridad pública, las administraciones públicas tienen la responsabilidad de cerrar esta brecha y reforzar la seguridad para proteger a la nación y a sus ciudadanos", asegura Chris Eng, director de Investigación de Veracode.
Mantener la seguridad a lo largo del tiempo
El informe revela más diferencias entre las aplicaciones del sector público y las del privado, como el índice al que los escáneres descubren nuevos fallos en el software obsoleto. Cuando el software lleva cinco años en producción, los dos sectores divergen notablemente: los índices de nuevos fallos introducidos en las aplicaciones del sector privado aumentan, mientras que los índices de los organismos del sector público disminuyen.
Esta tendencia sugiere que los organismos del sector público están más atentos a mantener la seguridad de las aplicaciones a lo largo del tiempo, y no solo durante los primeros años del ciclo de vida. Por el contrario, las aplicaciones no gubernamentales experimentan un aumento gradual y constante de la introducción de nuevos fallos a medida que se vuelven más antiguas.
El informe 'Estado de la seguridad del software de 2023' recomienda cuatro medidas que los organismos pueden adoptar para mejorar su postura en materia de ciberseguridad.
-
Ponerse al día: solucionar el retraso de los fallos conocidos
-
Escanear con regularidad: un escaneado incoherente dificulta la corrección de fallos, lo que provoca más retrasos.
-
Automatizar: la automatización de las pruebas mediante las API reduce la introducción de fallos en las aplicaciones.
-
Añadir DAST a las pruebas: utilizar el escaneado dinámico para descubrir fallos que otros tipos de escaneado pasan por alto.
“El sector público lleva mucho camino recorrido en el refuerzo de la seguridad, pero aún queda trabajo por hacer para que los organismos mejoren su postura cibernética y puedan hacer frente a las amenazas entrantes. Al centrar los esfuerzos de seguridad en la causa principal de la mayoría de las infracciones cibernéticas —la capa de aplicación—, los organismos pueden lograr las mejoras necesarias”, sostienen desde Veracode.
“Realizar análisis periódicos con diversos tipos de pruebas y abordar la deuda de seguridad —las vulnerabilidades de software acumuladas que amenazan la seguridad de un sistema— allanará el camino hacia un futuro más seguro para las agencias gubernamentales”, concluyen.