Press release

La deuda de seguridad en EMEA aumenta en medio de la creciente amenaza cibernética: un informe de Veracode revela la urgente necesidad de soluciones basadas en IA y de administración de la seguridad de las aplicaciones

0
Patrocinado por Businesswire

Veracode, líder internacional en gestión de riesgos de aplicaciones, ha presentado hoy la edición de EMEA de su informe anual State of Software Security (SoSS) 2024, que revela preocupantes niveles de deuda de seguridad en organizaciones de Europa, Oriente Medio y África.

Este comunicado de prensa trata sobre multimedia. Ver la noticia completa aquí: https://www.businesswire.com/news/home/20240923437723/es/

Veracode State of Software Security EMEA Snapshot 2024, Figure 1: Prevalence of security debt in EMEA (Graphic: Business Wire)

Veracode State of Software Security EMEA Snapshot 2024, Figure 1: Prevalence of security debt in EMEA (Graphic: Business Wire)

El estudio de Veracode reveló que el 68 % de las organizaciones de la región EMEA albergan algún nivel de deuda de seguridad, mientras que el 46 % tienen fallos persistentes de alta gravedad en el código, clasificados como deuda de seguridad «crítica». Estos fallos de alta gravedad representan el mayor riesgo para las aplicaciones y son una bomba de relojería con el potencial de provocar brechas catastróficas.

En un mundo en el que cada interacción con una aplicación puede ser un punto de entrada potencial para los ciberatacantes, comprender y gestionar la deuda de seguridad es más crucial que nunca. La deuda de seguridad, definida en este informe como los fallos de software que permanecen sin corregir durante más de un año, puede acumularse cuando los desarrolladores carecen de tiempo o recursos para abordar los fallos potencialmente peligrosos. Con el tiempo, estos fallos se acumulan, haciendo que las organizaciones sean cada vez más vulnerables frente a los atacantes.

Chris Eng, director de investigación de Veracode, ha declarado: «Las conclusiones del informe EMEA SoSS de este año son una llamada de atención para las organizaciones de la región. Las empresas deben tener un enfoque centrado en remediar la deuda de seguridad crítica en primer lugar, dado que estas fallas presentan el mayor riesgo».

Los desarrolladores encargados de clasificar y corregir los fallos manualmente a menudo no consiguen hacer frente a la creciente deuda de seguridad, debido a la lentitud de los plazos de corrección y al establecimiento de prioridades. Un análisis de los plazos de corrección en EMEA reveló que las organizaciones que utilizan métodos manuales tardan una media de 19 meses en corregir los fallos en código de terceros, frente a los nueve meses que tardan en corregir el código de origen. Con un número tan elevado de fallos que corregir, las organizaciones deben priorizar qué vulnerabilidades corregir primero, especialmente los fallos críticos.

En lo que respecta a los orígenes de la deuda de seguridad, el informe revela que el 84 % de la deuda de seguridad global procede de código de origen desarrollado internamente. Mientras tanto, el 80 % de la deuda de seguridad crítica proviene de código de terceros, que a menudo pasa desapercibido, pero que puede ser igual de peligroso para las organizaciones de la región EMEA. Y lo que es más importante, la estadística de la deuda de seguridad crítica es considerablemente superior a la tasa global del 65 %.

Aprovechamiento de la IA para la corrección de vulnerabilidades

Aunque los desarrolladores utilizan cada vez más los generadores de código de IA para crear software por la rapidez y eficacia que aportan, no siempre producen código seguro. De hecho, una investigación reciente descubrió que el 36 % del código generado por la herramienta CoPilot de GitHub basada en IA contenía fallos de seguridad.

La IA también puede usarse para reducir la deuda de seguridad, al ayudar a los desarrolladores y a los equipos de seguridad a reducir drásticamente el tiempo necesario para solucionar las vulnerabilidades. En palabras de Eng, «las herramientas de corrección basadas en IA pueden ahorrar a los equipos una cantidad de tiempo significativa al automatizar las recomendaciones de corrección y abordar los fallos a escala. Por ejemplo, nuestra solución de reparación basada en IA, Veracode Fix, ha reducido drásticamente los tiempos de reparación de vulnerabilidades comunes de días a minutos, mejorando significativamente la productividad de los desarrolladores».

Mitigación de la deuda de seguridad en un entorno complejo

Dado que tres quintas partes (el 60 por ciento) de todos los fallos de las organizaciones de la región EMEA no se consideran ni deuda de seguridad ni gravedad crítica, resulta más fácil y manejable para los desarrolladores centrarse en solucionar el cuatro por ciento que constituye el mayor riesgo. Una vez solucionado, las organizaciones pueden pasar a abordar la deuda de seguridad no crítica o los fallos críticos más recientes, en función de su tolerancia al riesgo y sus capacidades.

Para aquellos que busquen orientación sobre la priorización de la deuda de seguridad, las herramientas de gestión de la postura de seguridad de las aplicaciones (ASPM) pueden realizar un seguimiento continuo del riesgo mediante la recopilación, el análisis y la priorización de los problemas de seguridad a lo largo del ciclo de desarrollo del software.

Las herramientas ASPM son cada vez más populares, ya que ofrecen una visión completa y unificada del riesgo en todas las pilas de aplicaciones y facilitan la corrección de los problemas. Longbow, basado en Veracode, ofrece ASPM para llegar a la causa raíz del problema mediante un análisis contextual y sugiere los mejores pasos a seguir para reducir al máximo el riesgo con el menor esfuerzo.

Eng concluyó: «La prevalencia de la deuda de seguridad entre las organizaciones de la región EMEA destaca la necesidad de actuar de inmediato para proteger a las empresas frente a futuras brechas. Los responsables de seguridad y los desarrolladores deben centrarse en corregir los fallos más críticos que introducen el mayor riesgo dado su contexto. Las soluciones de seguridad basadas en IA que amplían las iniciativas de reparación permitirán a los equipos hacer frente a su cada vez mayor deuda de seguridad de manera más eficiente y reducir la cantidad de tiempo que las vulnerabilidades se pueden explotar».

La edición de SoSS EMEA está disponible para su descarga en el sitio web de Veracode. Para acceder al informe completo State of Software Security 2024 y profundizar en las conclusiones y recomendaciones, visite el sitio web.

Acerca del Informe del Estado de la seguridad del software

El informe del Estado de la seguridad del software 2024 de Veracode ha analizado datos de grandes y pequeñas empresas, proveedores de software comercial, subcontratistas de software y proyectos de código abierto. La investigación se basa en más de un millón (1 007 133) de aplicaciones de todos los tipos de análisis, 1 553 022 análisis dinámicos y 11 429 365 análisis estáticos. Todas esas comprobaciones generaron 96 millones de resultados estáticos en bruto, 4 millones de resultados dinámicos en bruto y 12,2 millones de resultados de análisis de composición de software en bruto.

Acerca de Veracode

Veracode es líder internacional en administración de riesgos de aplicaciones para la era de la IA. Impulsada por billones de líneas de escaneos de código y un motor propio de corrección asistida por IA, la plataforma Veracode cuenta con la confianza de organizaciones de todo el mundo para construir y mantener software seguro desde la creación del código hasta el despliegue en la nube. Miles de los principales equipos de desarrollo y seguridad del mundo usan Veracode cada segundo de cada día para obtener una visibilidad precisa y procesable de los riesgos de explotación, lograr la corrección de vulnerabilidades en tiempo real y reducir su deuda de seguridad a escala. Veracode es una empresa galardonada con múltiples premios que ofrece capacidades para asegurar todo el ciclo de vida de desarrollo de software, incluyendo Veracode Fix, el análisis estático, el análisis dinámico, el análisis de composición de software, la seguridad de contenedores, la administración del estado de seguridad de las aplicaciones y las pruebas de intrusión.

Más información en www.veracode.com, en el blog de Veracode y en LinkedIn y Twitter.

Copyright © 2024 Veracode, Inc. Todos los derechos reservados. Veracode es una marca registrada de Veracode, Inc. en Estados Unidos y puede estar registrada en otras jurisdicciones. Todos los demás nombres de productos, marcas o logotipos pertenecen a sus respectivos propietarios. Todas las demás marcas citadas en este documento pertenecen a sus respectivos propietarios.

El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.