Cómo Globant está resolviendo los desafíos de la IA empresarial con la ayuda del software de NVIDIA
The integration of NVIDIA AI Enterprise and GeneXus Enterprise AI provides a complete toolkit for end-to-end enterprise AI solutions
Seguridad informática: un tema clave en los sistemas de Misión Crítica
Hace
poco hablábamos sobre la relevancia fundamental de la seguridad informática en los tiempos actuales y los diferentes tipos de ataques e impactos en los sistemas y aplicaciones, así como también sobre estrategias que el software disponía para hacer frente a este problema. La ocasión fue con el medio brasilero SocialSec, y puede leerse acá en portugués: Cultura do desenvolvimento seguro na pauta do negócio
Uno de los temas que nos preguntó la periodista fue sobre los diferentes impactos que los ataques a la seguridad le originan a los negocios u organizaciones.
Existen diferentes tipos de ataques e impactos. Los ataques de ransomware impactan fuertemente en la continuidad operativa de las organizaciones, ya que una organización se ve impedida de acceder a la información vital para su operación; como en el caso de hospitales que han tenido que cerrar por no poder acceder a la información de los pacientes.
En cuanto a las aplicaciones, se ven afectados de dos formas: pueden ser utilizadas como vector de ataque a una organización, a través de una vulnerabilidad de una aplicación un atacante puede ejecutar un ransomware que afecte a toda la infraestructura; y también puede afectar a las aplicaciones, si un ataque en progreso es exitoso en cifrar los orígenes de datos utilizados (sistemas de archivos, bases de datos, etc.).
Es vital para evitar estos riesgos diseñar, desarrollar y analizar las aplicaciones, con el fin que no planteen vulnerabilidades que puedan dar cabida a ataques.
También es de suma importancia establecer políticas de respaldo y recuperación ante desastres con el fin de volver a la normalidad (Business as Usual) lo antes posible si fuimos atacados exitosamente.
Soluciones de desarrollo para la seguridad de la información y privacidad
La tendencia que ha resultado ser eficaz y eficiente, en términos de costos y de entrega de software (time to market), es implementar un ciclo de desarrollo seguro (SSDLC, Secure Software Development Life Cycle por sus siglas en inglés).
Desde la concepción de la aplicación se debe tener en cuenta aspectos de seguridad y privacidad, para construir un software que desde su diseño anticipa distintos tipos de ataques y de amenazas.
Durante su construcción, se deben planificar e implementar tareas cuyo objetivo es asegurar el grado de seguridad requerido.
El enfoque de realizar únicamente una prueba de penetración (Ethical Hacking) luego de construido el software ha demostrado ser ineficiente, y potencialmente ineficaz. Es ineficiente por el hecho que implica retrabajos que podrían haber sido llevados a cabo antes en el ciclo de desarrollo. También puede ser ineficaz debido a que en un Ethical Hacking, el profesional analiza únicamente lo que ve, potencialmente dejando de lado vulnerabilidades que circunstancialmente no fueron descubiertas.
El impacto de no llevar a cabo esta forma de desarrollo puede desencadenar que un software plenamente desarrollado no pueda ser puesto en producción por sus vulnerabilidades, lo que impacta directamente en el time to market, haciendo que la organización no pueda responder en tiempo y forma ante las necesidades del negocio.
La seguridad de las aplicaciones es cada vez más importante. Te invito a ver el siguiente video: DevSecOps: Redefiniendo las bases de la seguridad con el Análisis Estático del Código, donde se abordan herramientas que ayudan a detectar posibles vulnerabilidades.
Estrategias GeneXus para la seguridad y privacidad: GeneXus Access Manager y un nuevo acuerdo con Veracode
GeneXus como plataforma Low-Code, tiene la visión de automatizar todo lo automatizable en el proceso de desarrollo de software. Siguiendo esta visión es que resuelve automáticamente, en el código que genera temas de seguridad, como lo pueden ser Inyección SQL ó Cross Site Scripting, de forma que la aplicación final generada en GeneXus es lo más segura posible sin agregar complejidad al desarrollador.
Por otro lado, GeneXus cuenta con un módulo de seguridad, llamado GAM (GeneXus Access Manager) que resuelve la autenticación y autorización de las aplicaciones. De esta forma, con muy poco esfuerzo es posible asegurar el acceso a todos los puntos de entrada de la aplicación que se está desarrollando en GeneXus, y se pueden chequear permisos de acceso a los recursos de la aplicación. Este módulo, permite a su vez, autenticarse con cualquier proveedor de identidad externo a través de los protocolos OAuth.
Por último, contarles que GeneXus firmó un acuerdo para ser Partner de Veracode el pasado mes de octubre de 2021. Esta alianza tecnológica nos permite integrar al proceso de desarrollo de GeneXus las herramientas de análisis estático y dinámico de código, de la plataforma líder, como lo es Veracode. Con esto no sólo buscamos asegurar los controles de calidad de lo que producimos en Genexus, sino también facilitarle la vida a nuestros clientes que utilizarán esta plataforma para validar sus aplicaciones generadas en GeneXus.
De esta manera, la alianza será altamente beneficiosa para que los clientes de GeneXus demuestren fácilmente la seguridad de sus aplicaciones, para acortar los ciclos de ventas y obtener una ventaja sobre la competencia.
Esperamos ayudar a nuestros clientes a reducir vulnerabilidades de alta severidad, y también a reducir los falsos positivos en los reportes de seguridad, cuando nuestros clientes utilicen la plataforma Veracode para analizar las aplicaciones construidas con GeneXus.
También te puede interesar leer los siguientes artículos del GeneXus Community Wiki:
[…] IT security: a key aspect of mission-critical systems […]
[…] Seguridad informática: un tema clave en los sistemas de Misión Crítica […]