Cuando emprendemos un proyecto de desarrollo de software, las restricciones de tiempo y presupuesto hacen que a menudo la revisión de la seguridad del código, su fortaleza ante amenazas externas e integridad sean una tarea que se deja de lado, o al menos se pospone en vista de la urgencia de llevar la aplicación al ambiente productivo. Si esa no es razón suficiente para obviar la verificación del desarrollo, adquirir herramientas de auditoría de código es una inversión fuerte, que puede no justificarse dado el volumen de producción de código que tenemos; una o quizá dos aplicaciones mayores al año no justifican toda la inversión que debe hacerse para adquirir una herramienta o contar con un especialista (que de cualquier manera requerirá una solución para automatizar la revisión dado el tamaño, medido en líneas, que un desarrollo puede llegar a tener. En muchos casos también podemos optar por un servicio, pero las dudas acerca de los procesos de adquisición, involucrarse en una licitación pública internacional para obtener lo requerido, ponen fuera de consideración esta opción y, como resultado, tendremos una pieza de software que probablemente tiene fallas en la seguridad y por lo tanto expone nuestros datos, sin embargo, con este panorama, nunca sabremos si tenemos vulnerabilidades hasta que tengamos una fuga de datos (que generalmente es 200 días después de que ocurre efectivamente la fuga). Un escenario un poco escalofriante.
No todo son malas noticias, HP a través de Sictel ha puesto a disposición el servicio Fortify On Demand, que es un servicio en la nube, hospedado en México, que permite auditar código tanto en su etapa de desarrollo, pruebas como en producción. A través de esta inversión, que refleja la confianza en el mercado mexicano en principio, Sictel ofrece esta herramienta con atención totalmente en español, con lo cual además de posibilitar el cumplimiento del MAAGTICSI, se garantiza que la información y datos no salen de territorio nacional, por aquellos que les preocupa esto y la responsabilidad que puede generar para el servidor público.
La gran ventaja de que sea un servicio en la nube (SaaS) es que no se debe hacer la inversión en esta herramienta si la producción no es tal que amerite comprar una instancia local, y si se accede a todas las características y beneficios. La seguridad del código puede ya no dejarse de lado porque no hay presupuesto, recordemos que cada vez es más caro tener una fuga de datos. Hoy no es factible ahorrar en la seguridad.
A decir de HP y Sictel, la puesta en marcha de este servicio en México representa a las instituciones las siguientes ventajas:
- Servicio integral completo en español. Plataforma, portal, reportes, soporte y consultoría
- Tipos de escaneos que se pueden ejecutar:
- Estáticos en etapa de desarrollo de la aplicación
- Dinámicos cuando la aplicación está en QA o en producción
- Tipos básico, estándar y premium
- Aplicaciones móviles para aplicaciones que operan en dispositivos móviles en QA o en producción
- Tipos básico, estándar y premium
- Sictel cuenta con tres esquemas de escaneos para que el cliente pueda elegir el que más le convenga y realizar la inversión a medida de sus necesidades:
- Escaneos por evento. Una sola ejecución.
- Escaneos por suscripción anual. Se pueden realizar múltiples escaneos de la misma aplicación durante la vigencia de la suscripción.
- Escaneo por paquete de unidades de escaneo (Assesment units). Se adquiere una bolsa de unidades de escaneo que pueden ser ejecutadas en cualquier aplicación del cliente y en cualquier tipo de escaneo: estático, dinámico o móvil.
- Cada cliente cuenta con un portal asignado por SICTEL personalizado con un ambiente exclusivo de su operación, en donde pueden ver múltiples indicadores y reportes de los escaneos realizados en sus aplicaciones.
- Se generan reportes detallados de acuerdo al resultado y al tipo de escaneos contratados por el cliente y quedan disponibles en el portal OWASP TOP 10.
- Cuenta con personal certificado y capacitado para entregar un análisis de acuerdo a las mejores prácticas internacionales de seguridad.
- La plataforma de Fortify on Demand está en continua actualización por personal experto de HP en temas de seguridad.
La seguridad no es una oportunidad de ahorro al momento de desarrollar software.