Los desarrolladores de software no son los únicos culpables de las vulnerabilidades, ya que las organizaciones no aplicar los mecanismos de control de calidad adecuados
Una investigación publicada recientemente afirma que la falta de inversión en software seguro crea riesgos dentro de la empresa. El informe, titulado “State of Secure Application Lifecycle Management” y realizado por Creative Intellect Consulting, asegura que el problema es la falta de inversión en los procesos de TI críticos.
Según Creative Intellect, el informe recoge los resultados de una encuesta realizada a más de 10,000 desarrolladores de software, profesionales de seguridad y TI de todo el mundo, y puso sobre la mesa que la mayoría de las organizaciones no siguen los procesos de calidad y seguridad. Es más, aunque la mayoría de los encuestados son los responsables de llevar a cabo las revisiones de sus desarrollos y el proceso de entrega de los mismos, el 59% asegura que no está siguiendo los procesos de calidad.
El 26% de los encuestados aseguran que sus organizaciones tienen pocos o ningún proceso de desarrollo de software seguro, mientras que el 48% afirmó seguir rigurosamente los procedimientos de auditoría de software. Para los responsables del estudio resulta curioso que el 93% de los encuestados afirmara seguir los procesos de control de cambio en su negocio.
Como se esperaba, los investigadores encontraron que el cumplimiento y la regulación son ahora un factor clave, con el 66% de los encuestados afirmando que estos temas son ahora fundamentales para aplicar la seguridad en el ciclo de vida de desarrollo del software.
Estos factores son seguidos de cerca por la estrategia de gestión de riesgo y seguridad corporativa (56%).
Comentando las cifras del estudio Bola Rotibi, fundadora de Creative Intellect Consulting, afirmó que la mayor conciencia por la seguridad de los últimos años no ha llevado a las empresas a reforzar el proceso de entrega de software. “Ha llegado el momento de que dejemos de culpar a los desarrolladores”, afirma Rotibi, para después añadir que la administración debe tomar el control del problema que impida a las organizaciones ofrecer aplicaciones críticas de negocio sin cumplimentar los procesos de comprobación de software que reduzca el número de vulnerabilidades.
Fuente: ITespresso
