La mitad de las organizaciones arrastra una deuda de seguridad crítica

  • Vulnerabilidades
brecha vulnerabilidad fuga

Las organizaciones líderes presentan fallos en menos del 43% de las aplicaciones, mientras que las organizaciones rezagadas superan el 86%. La mayoría de estas vulnerabilidades tienen su origen en un código de terceros y en la cadena de suministro del software.

Veracode ha publicado una nueva edición de su informe State of Software Security (SoSS), que ofrece un panorama actualizado de la madurez de la seguridad del software. La investigación muestra un aumento alarmante del lapso medio de reparación de los fallos de seguridad: de 171 a 252 días en los últimos cinco años.

Asimismo, el 50% de las organizaciones arrastra actualmente una deuda de seguridad crítica, definida como la acumulación de fallos que quedan sin parchear durante más de un año. La mayoría de estas vulnerabilidades tienen su origen en un código de terceros y en la cadena de suministro del software. La deuda de seguridad no resuelta expone a las organizaciones a ataques que pueden perjudicar su reputación, sus finanzas y sus resultados operativos.

Chris Wysopal, promotor de seguridad de Veracode, señala que "la superficie de ataque se ha vuelto cada vez más complicada, sobre todo en los últimos dos años con la explosión de la ingeniería de IA. El informe del año pasado encontró que el 46% de las organizaciones tenían deudas de seguridad de alta gravedad. Si bien el aumento interanual puede parecer marginal, va en la dirección equivocada. Nuestras investigaciones proporcionan pruebas sólidas de que las organizaciones pueden reducir la deuda, pero muchas necesitan ayuda para poder priorizar qué vulnerabilidades deben resolver primero".

La investigación de Veracode menciona cinco métricas clave que indican la madurez de la seguridad y predicen la capacidad de una organización para reducir sistemáticamente el riesgo, y muestra los parámetros que determinan si una organización es "líder" o ha quedado "rezagada":

-     Prevalencia de los fallos: Las organizaciones líderes exhiben fallos en menos del 43% de las aplicaciones, mientras que las organizaciones rezagadas superan el 86%.

-     Capacidad de reparación: Las líderes resuelven más del 10% de los fallos al mes, mientras que las rezagadas menos del 1%.

-     Velocidad de reparación: Las organizaciones con mejores resultados reparan la mitad de los fallos dentro de cinco semanas, mientras que las menos eficaces tardan más de un año.

-     Prevalencia de la deuda de seguridad: Menos del 17% de las aplicaciones de las organizaciones líderes tienen deuda de seguridad, en contraste con más del 67% en las rezagadas.

-     Deuda de código abierto: Las organizaciones líderes mantienen la deuda crítica de código abierto por debajo del 15%, mientras que, en las organizaciones rezagadas, la deuda crítica de código abierto es del 100%.

Un aspecto positivo fue que la tasa de aplicaciones que pasan el Open Worldwide Application Security Project (OWASP) Top 10 aumentó un 63% en los últimos cinco años y más del doble en 15 años.