El sector financiero se está quedando atrás en cuanto a la aplicación de parches

Veracode ha publicado datos que muestran que la industria de los servicios financieros se encuentra entre los sectores con el menor porcentaje total de vulnerabilidades en comparación con otras industrias, pero tiene una de las tasas más bajas de remediación de las vulnerabilidades de seguridad del software. El índice de aplicaciones con vulnerabilidades significativas en el sector es del 18%, una cifra que sugiere que los proveedores de servicios financieros deberían centrarse en identificar y solucionar las vulnerabilidades más críticas.

Estas conclusiones se recogen en el informe anual State of Software Security, en el que se examinaron 20 millones de escaneos de medio millón de aplicaciones de los sectores financiero, tecnológico, manufacturero, minorista, sanitario y gubernamental. De estas seis industrias, el sector financiero tenía el segundo porcentaje más bajo de aplicaciones que contenían vulnerabilidades de seguridad, con un 73%. En el informe del año pasado, el sector financiero encabezó esta clasificación, pero fue superado este año por el sector manufacturero. A pesar de que el número total de vulnerabilidades es menor, el sector de los servicios financieros ocupa el último lugar, junto con los sectores tecnológico y gubernamental, con un bajo porcentaje de vulnerabilidades corregidas.

Aunque no cabe duda de que hay margen de mejora tanto en lo que respecta a la prevalencia de las vulnerabilidades como al ritmo de corrección, cuando los proveedores de servicios financieros corrigen sus vulnerabilidades, lo hacen a un ritmo más rápido que los demás.  El hecho de que las finanzas sean un sector muy regulado puede explicar en parte la relativa rapidez con la que esta industria ha abordado los problemas de vulnerabilidad descubiertos en las bibliotecas a través del análisis de la composición del software (SCA).

Las vulnerabilidades en las bibliotecas de terceros descubiertas por SCA tienden a ser más duraderas en todos los sectores, ya que el 30% de las vulnerabilidades siguen sin resolverse después de dos años. Sin embargo, cuando se trata de resolver las vulnerabilidades del software de código abierto, el sector financiero corrige al mismo ritmo que otros sectores durante el primer año, pero acelera el ritmo para ganar un mes sobre la media de todos los sectores.

Si bien el sector financiero supera a la mayoría de los demás sectores en cuanto a la rapidez con la que se solucionan las vulnerabilidades descubiertas mediante análisis dinámicos, estáticos y SCA, el informe destaca que todavía hay un margen significativo para seguir mejorando en el número de días necesarios para solucionar el 50 % de las vulnerabilidades: 116 días para el análisis dinámico, 385 días para el SCA y 288 días para el análisis estático.