Las políticas de seguridad sólidas siempre han sido importantes, pero con el estado interconectado de las empresas modernas, los líderes de TI están más preocupados que nunca. Sin embargo, esta marea creciente también ha provocado un pánico equivocado y una apuesta condenada por cubrir todas las bases con algunos subproductos desafortunados.
Muchos piensan que no hay alternativas al carrusel de pagar el “impuesto” anual de mantenimiento y aplicar parches de software disruptivos continuos. Pero esto ignora la naturaleza del panorama moderno de amenazas a la seguridad y comienza con la comprensión de que la mayoría de las empresas de software empresarial no son empresas de seguridad y probablemente nunca lo serán. Los parches de software proporcionados por el proveedor de ERP generalmente son simplemente correcciones de errores y la corrección de errores es casi siempre una forma glorificada (y lucrativa) de código incorrecto.
Por lo general, los proveedores de software revisan los errores para determinar la validez y la importancia, lo que puede ser un proceso arduo y largo. Los proveedores deben identificar todas las áreas posibles donde se utilizó la biblioteca o base de código afectados, qué plataformas se ven afectadas y su historial. Este es el punto en el que los proveedores pueden darse cuenta de que un error ha existido durante bastante tiempo, a menudo hasta 20 o incluso 30 años. De hecho, muchas veces el mismo problema se repara nuevamente incluso años después, ya que es muy común “pasar por alto un detalle”.
Pero eventualmente se lanza un parche, y aquí es donde comienza el verdadero dolor para las organizaciones. La aplicación de parches suele ser un proceso muy largo y complicado, especialmente para las grandes plataformas empresariales en las que es probable que se rompan las amplias personalizaciones de una empresa debido a algunos de los subproductos inesperados del comportamiento de ese parche. Incluso si una empresa tiene una política de parcheo inmediato (que es muy poco común y más probable es anual o, en el mejor de los casos, mensual), puede pasar fácilmente un año antes de que el parche se descargue, instale,
pruebe a través del entorno y finalmente se ponga en producción. Los clientes deben esperar a que se publiquen los parches, realizar pruebas de regresión rigurosas, ejecutar control de calidad, realizar pruebas de usuario final y reparar las cosas que los parches rompen, multiplicadas por cada instancia de aplicación o base de datos de la empresa. Todo esto consume mucho tiempo, es arriesgado, perturbador y costoso.
Ah, y luego, cuando vuelve a aparecer algo muy similar, es hora de revivir toda la rueda de hámster de nuevo, porque los proveedores de software generalmente solo restringen ciertos comandos, que con frecuencia son reemplazados por el siguiente comando en la lista, y los clientes se ven obligados a repetir este ciclo cientos de veces.
Más allá de las cosas que se han parcheado, piensa en los grandes casos de seguridad en los medios a lo largo de los años: Marriott, Target, AdultFriendFinder, eBay … ninguno se resolvió con un parche de proveedor. Es más probable que estas y otras empresas hayan sufrido por la falta de atención a configuraciones débiles, amenazas internas, acciones administrativas laxas, políticas no aplicadas y similares. Estos modernos escenarios de amenazas están haciendo que los clientes de ERP se pregunten si están realmente seguros confiando en los parches de los proveedores para sus políticas de seguridad.
La realidad es que los parches de los proveedores son complejos e incluso cuando se aplican, tienden a tener un alcance limitado porque solo abordan el problema que se descubrió en la naturaleza y no abordan la debilidad en su conjunto.
Debe haber (y hay) una mejor manera.
Las soluciones de seguridad modernas abordan casi todas las enumeraciones de debilidades comunes aplicables, y no solo los puntos de exposición individuales. Por ejemplo, en lugar de desmantelar un solo problema de inyección de SQL e introducir vulnerabilidades de sintaxis individuales (estrategia de parche del proveedor), las soluciones modernas mitigan las debilidades de inyección de SQL en su conjunto.
Hoy en día, los CISOs requieren estrategias de seguridad modernas y más rentables, como protecciones de bases de datos en memoria o autoprotección en tiempo real para middleware y aplicaciones, y otras técnicas modernas que ofrecen formas mucho más efectivas y proactivas de abordar la higiene de la seguridad de pilas de software empresarial, todo con reducciones masivas en el tiempo de inactividad y la interrupción del negocio. Los CISOs más inteligentes aprovechan el uso de estas tecnologías como un control común o control de compensación, según corresponda, para cumplir o superar las expectativas de los auditores de seguridad cuando la aplicación de parches es demasiado impráctica o incluso imposible para la empresa.
Igual que en otras industrias, los servicios financieros están inmersos en una época de transformación…
Según los informes de Ookla del primer semestre de 2024, los servicios de internet y…
ESET analiza a qué riesgos se exponen niños en Snapchat, comparte consejos para garantizar su…
A través de este convenio, Zoho desarrollará Modelos de Lenguaje Extenso (LLMs) con las herramientas…
La inteligencia artificial sigue tomando el mando de los procesos en general. Aunque no es…
Por Gastón Gorosterrazu, creador de Aptugo, herramienta de desarrollo visual inteligente