La deuda de seguridad, definida para este informe como fallas que permanecen sin corregir durante más de un año, existe en el 59% de las solicitudes en el sector público , en comparación con la tasa general del 42%. La investigación analizó organizaciones del sector público en más de 25 países de todo el mundo.
«Décadas de deuda de seguridad acumulada en software sin parches y configuraciones de seguridad deficientes se encuentran en las aplicaciones que sirven a nuestro gobierno», dijo Chris Eng , director de investigación de Veracode. «Sin un enfoque sistemático y continuo para encontrar y corregir fallas de seguridad, el sector público queda peligrosamente expuesto a ataques de piratas informáticos».
Los sistemas del gobierno federal enfrentan crecientes amenazas de ciberataques
Los sistemas del gobierno federal están cada vez más bajo ataques cibernéticos, ya que los delincuentes maliciosos atacan a las organizaciones del sector público con técnicas más dañinas y disruptivas. En respuesta, el gobierno federal está aplicando una serie de iniciativas para fortalecer la ciberseguridad, incluidos esfuerzos para reducir el riesgo en las aplicaciones que sirven al gobierno.
En marzo de 2024, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina de Gestión y Presupuesto (OMB) publicaron el Formulario de certificación de desarrollo de software seguro para responsabilizar a los proveedores del gobierno federal por el software inseguro.
Los investigadores de Veracode descubrieron que, si bien un número ligeramente menor de organizaciones del sector público (68%) tienen deuda de valores que otras industrias , tienden a acumular una mayor cantidad. Sólo el 3% de las aplicaciones están libres de fallos, en comparación con el 6% en otras industrias.
Aún más preocupante es que el 40% de las entidades del sector público tienen fallas persistentes y de alta gravedad que constituyen deuda de seguridad «crítica», lo que pondría en grave riesgo la confidencialidad, integridad y disponibilidad de las empresas si se explotaran.
«La buena noticia es que la mayoría de las organizaciones tienen la capacidad de remediar toda la deuda crítica, pero la priorización de riesgos es clave», dijo el Ing. “Dos tercios de todas las fallas en las organizaciones del sector público tienen menos de un año o no son críticas en cuanto a su gravedad. Además, menos del 1% de todas las fallas constituyen deuda de seguridad crítica. Al priorizar esa deuda de seguridad con un esfuerzo enfocado, las organizaciones pueden lograr la máxima reducción de riesgos y luego avanzar para abordar fallas no críticas en función de su tolerancia al riesgo y sus capacidades”.
La deuda de seguridad en el sector público se concentra principalmente en aplicaciones más antiguas
Según el informe, la deuda de valores en el sector público afecta principalmente al código de primera parte (93%), pero la mayor parte de la deuda de valores crítica proviene de dependencias de terceros (55,5%).
Esto refuerza la importancia de la Iniciativa de Software de Seguridad de Código Abierto (OS3I), un grupo de trabajo interinstitucional centrado en garantizar que el software de código abierto sea «tan seguro y sostenible como abierto». También enfatiza la necesidad de que las organizaciones se centren en códigos propios y de terceros para reducir eficazmente la deuda de valores.
El análisis muestra además que la deuda de valores en el sector público se concentra principalmente en aplicaciones más antiguas y de mayor tamaño (22%). Esto es especialmente cierto para la deuda de valores crítica (30%), lo que confirma una correlación entre la antigüedad de la solicitud y la acumulación de deuda de valores.
Los investigadores también compararon el perfil de la deuda de valores para diferentes lenguajes de desarrollo y descubrieron que las aplicaciones Java y .NET destacan como fuentes importantes de deuda en el sector público.
“El estado actual de la seguridad del software en el sector público refuerza la importancia de hacer que la seguridad desde el diseño sea un enfoque estándar para todo el mundo conectado a la red”, concluyó el Ing. “Aplaudimos el reciente anuncio de CISA de su Secure by Design Pledge y estamos orgullosos de ser uno de los firmantes inaugurales. Nuestro objetivo con esta investigación es apoyar aún más a nuestros socios gubernamentales y de la industria en la promoción de la adopción generalizada de estos principios”.
Fuente y redacción: helpnetsecurity.com