Veracode, proveedor líder mundial de soluciones de pruebas de seguridad de aplicaciones, ha anunciado hoy que el sector de la sanidad lidera el número de vulnerabilidades de seguridad de software parcheadas, con un 27 %. El sector supera al mercado financiero como el de mejor rendimiento, lo que ilustra los progresos realizados por los proveedores de servicios sanitarios en la seguridad de su software durante el pasado año.
Los resultados se han publicado en el informe anual State of Software Security (SoSS) versión 12 de la empresa, que ha estudiado 20 millones de escaneos en medio millón de aplicaciones de los sectores sanitario, financiero, tecnológico, manufacturero, minorista y gubernamental.
Chris Eng, director de Investigación de Veracode, ha comentado: “La sanidad es uno de los sectores más regulados y es una infraestructura crítica para las autoridades. Es alentador que este sector esté funcionando bien en términos de parcheo de vulnerabilidades. Esperamos que los desarrolladores y el personal informático de este sector aprecien este resultado, que es un rayo de sol en el sector, a menudo demasiado oscuro, de la seguridad del software. Aunque todavía queda trabajo por hacer, esperamos que haya más mejoras en los próximos años”.
A pesar de ocupar el primer puesto en cuanto a la tasa de corrección, el 77 % de las aplicaciones del sector sanitario contienen vulnerabilidades, de las cuales el 21 % son especialmente graves. El sector también tiene que mejorar notablemente el tiempo que se dedica a reparar los fallos una vez detectados. Se tarda la friolera de hasta 447 días en llegar a la mitad del proceso de reparación.
Los costes de las infracciones en el sector sanitario son los más elevados
Las empresas del sector sanitario son las que soportan el mayor coste medio de una violación de datos, alcanzando un nuevo récord de 10,1 millones de dólares*. Por lo tanto, es esencial reaccionar de forma proactiva para minimizar el riesgo de un ciberataque. Dado que las violaciones de datos en los sectores altamente regulados tienden a asociarse con mayores costes a largo plazo, y a acumularse a lo largo de los años siguientes, el sector se beneficiaría de mayores esfuerzos para garantizar la seguridad en una fase más temprana del ciclo de vida del desarrollo del software.
De los seis sectores analizados, los proveedores de servicios sanitarios son los que ocupan el último lugar en cuanto a la proporción de aplicaciones con vulnerabilidades, y el penúltimo en cuanto a la proporción de vulnerabilidades de alta gravedad, es decir, aquellas que suponen un grave riesgo para la aplicación y la organización si suceden. En cuanto a los tipos de vulnerabilidad detectados en el análisis dinámico de aplicaciones del sector, los proveedores de servicios sanitarios obtienen buenos resultados en comparación con otros sectores en cuanto a problemas de autenticación y dependencias inseguras, pero menos en cuanto a la frecuencia de problemas de naturaleza criptográfica y en la configuración del despliegue.
Eng ha declarado: “Sabemos que ninguna aplicación estará nunca 100 % libre de vulnerabilidades de seguridad. Por lo tanto, es importante que las empresas tomen todas las medidas necesarias para minimizar el riesgo en la medida de lo posible. Esto incluye el escaneo regular y rápido con diferentes pruebas, la integración de herramientas de prueba en los entornos de los desarrolladores y la formación práctica para ayudar a los desarrolladores a entender y corregir el origen de los fallos, o incluso prevenirlos por completo. El sector sanitario también debe tener especial cuidado en dar la prioridad adecuada a los fallos críticos, es decir, a las vulnerabilidades que pueden tener efectos catastróficos si no se solucionan durante demasiado tiempo”.
Andrew McCall, vicepresidente de Ingeniería de Azalea Health Innovations, ha afirmado: “El mayor obstáculo para integrar la seguridad en nuestro flujo de trabajo es que los desarrolladores piensan en la seguridad sólo como una casilla de verificación. Sin embargo, la seguridad es un proceso continuo y es imprescindible tenerla en cuenta durante todo el ciclo de vida del desarrollo de software. Elegimos Veracode porque era la solución más fácil y mejor para integrar en nuestros flujos de trabajo existentes”.
Seguridad de las bibliotecas de terceros
A la luz de un fuerte aumento de las normativas de seguridad de la cadena de suministro de software en el último año, para el informe se analizaron bibliotecas de terceros con el fin de determinar cómo se comportan las vulnerabilidades encontradas a través del análisis de composición de software (SCA). En general, en cerca del 30 % de las bibliotecas vulnerables, los problemas seguían sin resolverse después de dos años. En el sector de la salud, sin embargo, esta cifra se redujo al 25 %. Mientras que la proporción global de bibliotecas vulnerables encontradas a través de SCA disminuyó de forma constante a lo largo del tiempo, la asistencia sanitaria experimentó un breve repunte antes de reducir drásticamente los índices de error el año pasado.
Puede descargar un resumen del informe State of Software Security versión 12 de Veracode sobre salud aquí y ver el informe completo aquí.
* IBM Security y The Ponemon Institute, “Cost of a Data Breach Report 2022”: https://www.ibm.com/downloads/cas/3R8N1DZJ, julio de 2022
Acerca del informe State of Software Security
El informe State of Software Security (SoSS) versión 12 de Veracode analizó datos históricos completos de los servicios y clientes de Veracode. Este conjunto representa un total de más de medio millón de aplicaciones (592 720) que utilizan todo tipo de escaneos, más de un millón de escaneos dinámicos (1 034 855), más de cinco millones de escaneos estáticos (5 137 882) y más de 18 millones de escaneos de composición de software (18 473 203). Todos estos análisis produjeron 42 millones de resultados estáticos brutos, 3,5 millones de resultados dinámicos brutos y seis millones de resultados SCA brutos.
Estos datos representan a empresas grandes y pequeñas, proveedores de software comercial, contratistas de software y proyectos de código abierto. En la mayoría de los escaneos, la misma aplicación se contabilizó una sola vez, aunque se presentó varias veces a medida que se parcheaban las vulnerabilidades y se publicaban nuevas versiones.
Acerca de Veracode
Veracode es un socio líder en AppSec para la construcción de software seguro, reduciendo el riesgo de violaciones de seguridad y aumentando la productividad de los equipos de seguridad y desarrollo. Como resultado, las empresas que utilizan Veracode son capaces de avanzar en su negocio y en el mundo. Al combinar la automatización de los procesos, las integraciones, la velocidad y la capacidad de respuesta, Veracode proporciona a las empresas resultados precisos y fiables que les permiten centrar sus esfuerzos en solucionar, y no sólo en encontrar, posibles vulnerabilidades. Más información en www.veracode.com, en el blog de Veracode y en Twitter.
Copyright © 2022 Veracode, Inc. todos los derechos reservados. Veracode es una marca registrada de Veracode, Inc. en Estados Unidos y puede estar registrada en otras jurisdicciones. Todos los demás nombres de productos, marcas y logotipos son propiedad de sus respectivos dueños. Todas las demás marcas mencionadas en este comunicado son propiedad de sus respectivos dueños.
El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
Vea la versión original en businesswire.com: https://www.businesswire.com/news/home/20220922005102/es/