El 77% de las aplicaciones del sector sanitario contienen vulnerabilidades

Recomendados:  Innovación tecnológica. II Foro IT User, 28 septiembre Regístrate ¿Cómo optimizar los costes IT? Informe El "Headless" CMS en la empresa Leer

La sanidad es uno de los sectores más regulados y es una infraestructura crítica para las autoridades. No es de extrañar que el sector de la sanidad lidere el número de vulnerabilidades de seguridad de software parcheadas, con un 27%, como señala el informe anual State of Software Security (SoSS) de Veracode. El sector sanitario supera al mercado financiero como el de mejor rendimiento, lo que ilustra los progresos realizados por los proveedores de servicios sanitarios en la seguridad de su software durante el pasado año.

"Es alentador que este sector esté funcionando bien en términos de parcheo de vulnerabilidades. Esperamos que los desarrolladores y el personal informático de este sector aprecien este resultado, que es un rayo de sol en el sector, a menudo demasiado oscuro, de la seguridad del software. Aunque todavía queda trabajo por hacer, esperamos que haya más mejoras en los próximos años", señala Chris Eng, director de Investigación de Veracode.

Vulnerabilidades y costes

A pesar de ocupar el primer puesto en cuanto a la tasa de corrección, el 77% de las aplicaciones del sector sanitario contienen vulnerabilidades, de las cuales el 21% son especialmente graves. El sector también tiene que mejorar notablemente el tiempo que se dedica a reparar los fallos una vez detectados, pues se tarda hasta 447 días en llegar a la mitad del proceso de reparación.

Las empresas del sector sanitario son las que soportan el mayor coste medio de una violación de datos, alcanzando un récord de 10,1 millones de dólares. Dado que las violaciones de datos en los sectores altamente regulados tienden a asociarse con mayores costes a largo plazo, y a acumularse a lo largo de los años siguientes, el sector se beneficiaría de mayores esfuerzos para garantizar la seguridad en una fase más temprana del ciclo de vida del desarrollo del software.

De los seis sectores analizados, los proveedores de servicios sanitarios son los que ocupan el último lugar en cuanto a la proporción de aplicaciones con vulnerabilidades, y el penúltimo en cuanto a la proporción de vulnerabilidades de alta gravedad, es decir, aquellas que suponen un grave riesgo para la aplicación y la organización si suceden. En cuanto a los tipos de vulnerabilidad detectados en el análisis dinámico de aplicaciones del sector, los proveedores de servicios sanitarios obtienen buenos resultados en comparación con otros sectores en cuanto a problemas de autenticación y dependencias inseguras, pero menos en cuanto a la frecuencia de problemas de naturaleza criptográfica y en la configuración del despliegue.

Eng afirma que "sabemos que ninguna aplicación estará nunca 100% libre de vulnerabilidades de seguridad. Por lo tanto, es importante que las empresas tomen todas las medidas necesarias para minimizar el riesgo en la medida de lo posible. Esto incluye el escaneo regular y rápido con diferentes pruebas, la integración de herramientas de prueba en los entornos de los desarrolladores y la formación práctica para ayudar a los desarrolladores a entender y corregir el origen de los fallos, o incluso prevenirlos por completo. El sector sanitario también debe tener especial cuidado en dar la prioridad adecuada a los fallos críticos, es decir, a las vulnerabilidades que pueden tener efectos catastróficos si no se solucionan durante demasiado tiempo".