¿Cree que no necesita seguridad en sus aplicaciones? Tal vez piense que la seguridad en aplicaciones es demasiado compleja o demasiado cara. Tal vez piense, “todavía no hemos sido atacados, ¿cuáles son las posibilidades? E incluso si alguien lo intenta, tenemos un WAF.”
Puede parecer más rentable simplemente "no hacer nada" en lugar de invertir en seguridad de aplicaciones. Pero se debe tener en cuenta que, de hecho, hay un costo asociado con "no hacer nada" cuando se trata de seguridad.
La probabilidad de una brecha es alta ...
Su empresa tiene una buena probabilidad de sufrir una brecha en la capa de la aplicaciones sin importar su tamaño o sector.
Verizon estudió recientemente 2,260 brechas de datos confirmadas en 82 países y encontró que el 40% resultó directamente de los ataques a las aplicaciones web, por lejos la categoría más grande. Además, según el Informe sobre el estado de la seguridad en Internet del tercer trimestre de 2015 de Akamai, los ataques en la capa de aplicación aumentan en más del 25% anualmente.
... al igual que el costo
Una publicación reciente del blog de pcicomplianceguide.org observó que “el costo total promedio consolidado de una violación de datos es de $ 3.8 millones. Con cada registro perdido o robado costando en promedio $174, 500 registros de pagos comprometidos pueden exceder los $75000 en responsabilidad de la empresa comprometida”
Y este es un número conservador considerando que los costes relacionados con las brechas incluyen:
- Perdida de ingresos: esto podría deberse a datos corporativos robados, menores volúmenes de ventas (si los consumidores se asustan) o la caída de los precios de las acciones.
- Dinero gastado en investigación y recuperación
- Costo del tiempo de inactividad: un artículo reciente de Information Age estimó que cada hora de inactividad cuesta a las empresas $100,000. Además, el tiempo dedicado a corregir una brecha significa tiempo de desarrollo e innovación perdido.
- Daños a la marca: un estudio reciente de Deloitte encontró que la seguridad es el segundo riesgo principal para la marca de una empresa, detrás de los problemas éticos y por delante de los riesgos relacionados con la seguridad física, salud y medio ambiente.
Una brecha no es el único costo
Muchas entidades reguladoras, en industrias diferentes, ahora requieren que se implementen algunos controles de seguridad para las aplicaciones. Y con el aumento de las brechas en la capa de la aplicación, están prestando más atención a estos controles de seguridad.
Las regulaciones que ahora requieren controles de seguridad de aplicaciones incluyen:
- PCI-DSS
- NIST
- MAS
- HIPAA
¿Cuál es el costo de no cumplir? Aquí hay dos ejemplos:
HIPAA: las multas por incumplimiento son de hasta $ 50,000 por infracción. Además, los fiscales generales también pueden emitir multas de HIPAA, y las sanciones penales pueden resultar incluso de violaciones de HIPAA.
PCI: las multas por incumplimiento varían a discreción de las marcas de tarjetas y los bancos adquirentes, y pueden oscilar entre $ 5,000 y $100,000 por mes para las empresas.
La seguridad de red no es efectiva en la capa de aplicación
Usted podría pensar que está "haciendo algo" para proteger su capa de aplicación si confía en las soluciones de seguridad de red, pero, de hecho, no está "haciendo nada". Proteger la capa de red no es lo mismo que proteger la capa de aplicación pues las soluciones de red no protegen a su organización contra ataques de capa de aplicación.
Pero la mayoría de las organizaciones continúan enfocando sus presupuestos en la protección contra ataques en la capa de red / infraestructura, mientras descuidan las amenazas reales de hoy. Los atacantes lo saben, y están aprovechando la capa de aplicación insegura.
Un firewall de aplicaciones web tampoco es una solución de seguridad de aplicaciones adecuada. Los firewalls fueron diseñados para manejar eventos de red, como encontrar y bloquear botnets y explotaciones de acceso remoto. Algunos pueden abordar eventos a nivel de aplicación, pero no tanto como lo hacen las soluciones, y solo con un esfuerzo significativo para configurarlos y monitorearlos. En última instancia, no solucionan las vulnerabilidades a nivel de la aplicación, sino que simplemente las mitigan.
La seguridad efectiva de aplicaciones requiere un programa de seguridad que implique múltiples tecnologías diseñadas específicamente para evaluar la seguridad de la capa de la aplicación y que aborde la seguridad desde el desarrollo hasta la producción.
"No hacer nada" no es ahorrar costos
La negligencia de no abordar la seguridad en las aplicaciones no le ahorrará dinero. De hecho, le costará, probablemente una cantidad significativa en el futuro. Las aplicaciones desempeñan un papel fundamental en el mundo digital de hoy, y necesitan un lugar relevante en su plan de seguridad.
Artículo tomado del blog de Veracode. Si desea leer esta entrada de blog en su idioma original diríjase a: www.veracode.com/blog/intro-appsec/whats-worst-can-happen-cost-do-nothing-appsec-plan