Temas técnicos

¿Qué es la seguridad de las aplicaciones?

Ilustración de elementos informáticos centrados en un signo de interrogación

Visión general

La seguridad de las aplicaciones es la disciplina de procesos, herramientas y prácticas destinada a protegerlas de las amenazas a lo largo de todo su ciclo de vida. Los ciberdelincuentes están organizados, especializados y motivados para encontrar y explotar vulnerabilidades en las aplicaciones empresariales para robar datos, propiedad intelectual e información confidencial. La seguridad de las aplicaciones puede ayudar a las organizaciones a proteger todo tipo de aplicaciones (heredadas, de escritorio, web, móviles, microservicios) utilizadas por partes interesadas internas y externas, incluidos clientes, socios comerciales y empleados.

Seguridad de las aplicaciones

¿Por qué la seguridad de las aplicaciones?

Como demuestran numerosos estudios, la mayoría de las infracciones que se producen con éxito tienen como objetivo vulnerabilidades explotables que residen en la capa de aplicación, lo que indica la necesidad de que los departamentos de TI de las empresas extremen la vigilancia sobre la seguridad de las aplicaciones. Para agravar aún más el problema, el número y la complejidad de las aplicaciones es cada vez mayor. Hace diez años, el reto de la seguridad del software consistía en proteger las aplicaciones de escritorio y los sitios web estáticos que eran bastante inocuos y fáciles de abarcar y proteger. Ahora, la cadena de suministro de software es mucho más complicada, teniendo en cuenta el desarrollo externalizado, el número de aplicaciones heredadas y el desarrollo interno que aprovecha componentes de software de terceros, de código abierto y comerciales.

Las organizaciones necesitan soluciones de seguridad de aplicaciones que cubran todas sus aplicaciones, desde las de uso interno hasta las populares aplicaciones externas utilizadas en los teléfonos móviles de los clientes. Estas soluciones deben cubrir toda la fase de desarrollo y ofrecer pruebas después de que una aplicación se ponga en uso para vigilar posibles problemas. Las soluciones de seguridad de aplicaciones deben ser capaces de probar aplicaciones web para detectar vulnerabilidades potenciales y explotables, tener capacidad para analizar código, ayudar a gestionar los procesos de gestión de la seguridad y el desarrollo coordinando esfuerzos y permitiendo la colaboración entre las distintas partes interesadas. Las soluciones también deben ofrecer pruebas de seguridad de las aplicaciones que sean fáciles de usar e implantar.

¿Qué es SAST, DAST, y SCA?

¿Qué es SAST?

Las pruebas estáticas de seguridad de las aplicaciones (SAST ) escanean los archivos fuente de la aplicación, identifican con precisión la causa raíz y ayudan a corregir los fallos de seguridad subyacentes.

Ventajas de las pruebas estáticas de seguridad de las aplicaciones

Identificar y eliminar vulnerabilidades en código fuente, binario o de bytes.
Revise los resultados del análisis estático en tiempo real con acceso a recomendaciones, navegación por la línea de código para encontrar vulnerabilidades más rápidamente y auditoría colaborativa.
Totalmente integrado con el entorno de desarrollo integrado (IDE).

¿Qué es DAST?

Las pruebas dinámicas de seguridad de aplicaciones (DAST ) simulan ataques controlados a una aplicación o servicio web en ejecución para identificar vulnerabilidades explotables en un entorno en funcionamiento.

Ventajas de las pruebas dinámicas de seguridad de las aplicaciones:

Proporciona una visión completa de la seguridad de las aplicaciones centrándose en lo que se puede explotar y abarcando todos los componentes (servidor, código personalizado, código abierto, servicios).
Puede integrarse en Desarrollo, Control de calidad y Producción para ofrecer una visión holística continua.
El análisis dinámico permite un enfoque más amplio para gestionar el riesgo de la cartera (miles de aplicaciones) y puede analizar las aplicaciones heredadas como parte de la gestión de riesgos.
Prueba la aplicación funcional, por lo que, a diferencia de SAST, no está limitada por el idioma y pueden descubrirse problemas relacionados con el tiempo de ejecución y el entorno.

¿Qué es el SCA?

El análisis de composición de software ( SCA ) es un proceso automatizado que ayuda a identificar y rastrear los componentes de código abierto utilizados en las aplicaciones. Las herramientas de SCA más robustas pueden analizar todos los componentes de código abierto en cuanto a riesgos de seguridad, cumplimiento de licencias y calidad del código.

Ventajas del análisis de la composición del software:

Obtenga visibilidad y comprensión de los componentes de código abierto en su organización (proporcione una lista de materiales de software).
Automatización de políticas para evitar problemas de seguridad y licencias.
Sugerencias de solución para vulnerabilidades y asesoramiento sobre riesgos de licencias.
Analizar la salud de los proyectos de código abierto para eliminar el riesgo causado por comunidades pobres o en decadencia.

On-Premise vs. SaaS vs. Managed Service

Las soluciones de seguridad de las aplicaciones consisten en el software de ciberseguridad (las herramientas) y las prácticas que ejecutan el proceso para asegurar las aplicaciones.

En las instalaciones

Las soluciones de comprobación de la seguridad de las aplicaciones pueden ejecutarse in situ (internamente), operadas y mantenidas por equipos internos. Este enfoque requiere que las organizaciones proporcionen la infraestructura y el personal, y adquieran soluciones de seguridad de aplicaciones para su uso. On-premise garantiza a las organizaciones que los datos de sus aplicaciones no se comparten con terceros y no salen de las instalaciones.

SaaS

La seguridad de las aplicaciones como oferta SaaS proporciona soluciones basadas en la nube con una interfaz de usuario basada en la web, que permite al cliente configurar, realizar y gestionar la seguridad de las aplicaciones. Esta opción sigue requiriendo que las organizaciones aporten el personal y los conocimientos necesarios para ejecutar las distintas herramientas de comprobación de la seguridad de las aplicaciones, pero sin necesidad de proporcionar infraestructura, mantenimiento, actualizaciones, etc.

Servicio gestionado

La seguridad de las aplicaciones también puede ser un servicio gestionado en el que el cliente consume servicios proporcionados como una solución llave en mano por el proveedor de seguridad de las aplicaciones. Este enfoque no requiere ninguno de los requisitos previos del enfoque in situ, pero sí requiere depender parcial o totalmente del proveedor de SaaS y, en la mayoría de los casos, permitir que los datos de la aplicación se compartan con el proveedor. La seguridad de las aplicaciones como servicio gestionado proporciona una forma sencilla de empezar y puede ofrecer escalabilidad y velocidad. Las implantaciones híbridas (que utilizan conjuntamente servicios locales, SaaS y gestionados en distintos proyectos y prácticas) pretenden ofrecer lo mejor de ambos mundos al proporcionar flexibilidad, escalabilidad y optimización de costes.

¿Qué es el Top 10 de OWASP?

Top 10 de OWASP

El Open Web Application Security Project(OWASP) es una comunidad de seguridad de aplicaciones de código abierto cuyo objetivo es mejorar la seguridad del software. Sus directrices OWASP Top 10, estándar del sector, ofrecen una lista de los riesgos más críticos para la seguridad de las aplicaciones con el fin de ayudar a los desarrolladores a proteger mejor las aplicaciones que diseñan e implantan.

Soluciones de seguridad para aplicaciones

OpenText Las soluciones de seguridad de aplicaciones ofrecen pruebas y gestión de la seguridad de las aplicaciones in situ, alojadas y como servicio para ayudar a las empresas a proteger sus aplicaciones de software, incluidas las heredadas, móviles, de terceros y de código abierto.

Fortify incluye análisis estático de código, pruebas dinámicas de seguridad de aplicaciones, análisis de composición de software (SCA) y herramientas interactivas de pruebas de seguridad de aplicaciones para proporcionar seguridad de código a sus aplicaciones web, API, aplicaciones móviles, infraestructura como código, contenedores y cadena de suministro de software.

Las soluciones incluyen:

OpenText™ Fortify™ Static Code Analyzer - Pruebas estáticas de seguridad de aplicaciones (SAST) - Identifica y localiza las vulnerabilidades de seguridad en el código fuente en una fase temprana del ciclo de vida de desarrollo del software.

OpenText™ Fortify™ WebInspect - Pruebas dinámicas de seguridad de aplicaciones (DAST) - Simula ataques de seguridad reales a una aplicación en ejecución para proporcionar un análisis exhaustivo de aplicaciones y servicios web complejos.

OpenText™ Fortify™ Bajo demanda - Seguridad como servicio - Una forma sencilla, fácil y rápida de probar con precisión las aplicaciones sin tener que instalar o gestionar software, ni añadir recursos adicionales.

Seguridad móvil - Metodología de pruebas móviles que comprueba los tres niveles: cliente, red y servidor.

OpenText™ Cybersecurity Cloud es un repositorio de gestión centralizado que proporciona visibilidad a todo el programa de pruebas de seguridad de las aplicaciones. Prioriza, gestiona y realiza un seguimiento de las actividades de pruebas de seguridad y proporciona una imagen precisa del riesgo de seguridad del software en toda la empresa.

DestacadosDestacados

Analytics CloudAnalytics Cloud

Base de datos analíticaBase de datos analítica

Análisis de datos no estructuradosAnálisis de datos no estructurados

Inteligencia de negocio e informesInteligencia de negocio e informes

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Búsqueda empresarialBúsqueda empresarial

Aviator Search

Business Network CloudBusiness Network Cloud

Integración de la cadena de suministroIntegración de la cadena de suministro

Servicios de integración B2BServicios de integración B2B

Colaboración en el ecosistemaColaboración en el ecosistema

Business Network Aviator

Content CloudContent Cloud

Gestión de documentosGestión de documentos

Gestión de contenidos AIGestión de contenidos AI

Integraciones empresarialesIntegraciones empresariales

Captura y procesamiento inteligente de documentosCaptura y procesamiento inteligente de documentos

Information ArchivingInformation Archiving

Automatización de procesosAutomatización de procesos

Gobernanza de la informaciónGobernanza de la información

Content Aviator

Cybersecurity CloudCybersecurity Cloud

Seguridad de las aplicacionesSeguridad de las aplicaciones

Identity and Access ManagementIdentity and Access Management

Protección de datosProtección de datos

Investigaciones y análisis forenses digitalesInvestigaciones y análisis forenses digitales

Inteligencia sobre amenazasInteligencia sobre amenazas

Detección de amenazas y respuestaDetección de amenazas y respuesta

Cybersecurity Aviator

Developer CloudDeveloper Cloud

Information Management ServicesInformation Management Services

Developer Cloud documentación técnicaDeveloper Cloud documentación técnica

Aviator Thrust

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

PPM y Gestión Estratégica PortfolioPPM y Gestión Estratégica Portfolio

Gestión de la calidadGestión de la calidad

Pruebas funcionalesPruebas funcionales

Ingeniería de rendimientoIngeniería de rendimiento

DevOps Aviator

Experience CloudExperience Cloud

Experiencias web y de marcaExperiencias web y de marca

MensajeríaMensajería

Recorrido del cliente y datosRecorrido del cliente y datos

Media ManagementMedia Management

Análisis de Contact CenterAnálisis de Contact Center

Experience Aviator

IT Operations CloudIT Operations Cloud

Gestión de serviciosGestión de servicios

FinOpsFinOps

AIOps y observabilidadAIOps y observabilidad

AutomatizaciónAutomatización

Gestión de redesGestión de redes

IT Operations Aviator

PortfolioPortfolio

Protección de datos y copia de seguridad de terminalesProtección de datos y copia de seguridad de terminales

Gestión de terminales y seguridad móvilGestión de terminales y seguridad móvil

Trabajo híbrido, correo electrónico y colaboración en equipoTrabajo híbrido, correo electrónico y colaboración en equipo

Archivado, eDiscovery y seguridad de los datosArchivado, eDiscovery y seguridad de los datos

La información reimaginadaLa información reimaginada

Inteligencia artificialInteligencia artificial

IndustriaIndustria

Aplicaciones empresarialesAplicaciones empresariales

Su viaje hacia el éxitoSu viaje hacia el éxito

Atención al clienteAtención al cliente

Servicios de éxito del clienteServicios de éxito del cliente

Estrategia y asesoramientoEstrategia y asesoramiento

Servicios de consultoríaServicios de consultoría

Servicios de aprendizajeServicios de aprendizaje

Servicios gestionadosServicios gestionados

Encuentre un socio en OpenTextEncuentre un socio en OpenText

Buscar una solución asociadaBuscar una solución asociada

Crecer como socioCrecer como socio

Hágase socio

Biblioteca de activosBiblioteca de activos

BlogsBlogs

EventosEventos

Destacados

Analytics Cloud

Base de datos analítica

Análisis de datos no estructurados

Inteligencia de negocio e informes

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Búsqueda empresarial

Business Network Cloud

Integración de la cadena de suministro

Servicios de integración B2B

Colaboración en el ecosistema

Content Cloud

Gestión de documentos

Gestión de contenidos AI

Integraciones empresariales

Captura y procesamiento inteligente de documentos

Information Archiving

Automatización de procesos

Gobernanza de la información

Cybersecurity Cloud

Seguridad de las aplicaciones

Identity and Access Management

Protección de datos

Investigaciones y análisis forenses digitales

Inteligencia sobre amenazas

Detección de amenazas y respuesta

Developer Cloud

Information Management Services

Developer Cloud documentación técnica

DevOps Cloud

Plataforma DevOps

PPM y Gestión Estratégica Portfolio

Gestión de la calidad

Pruebas funcionales

Ingeniería de rendimiento

Experience Cloud

Experiencias web y de marca

Mensajería

Recorrido del cliente y datos

Media Management

Análisis de Contact Center

IT Operations Cloud

Gestión de servicios

FinOps

AIOps y observabilidad

Automatización

Gestión de redes

Portfolio

Protección de datos y copia de seguridad de terminales

Gestión de terminales y seguridad móvil

Trabajo híbrido, correo electrónico y colaboración en equipo

Archivado, eDiscovery y seguridad de los datos

La información reimaginada

Inteligencia artificial

Industria

Aplicaciones empresariales

Su viaje hacia el éxito

Atención al cliente

Servicios de éxito del cliente

Estrategia y asesoramiento

Servicios de consultoría

Servicios de aprendizaje

Servicios gestionados

Encuentre un socio en OpenText

Buscar una solución asociada

Crecer como socio

Biblioteca de activos

Blogs

Eventos

Comunidades

Historias de clientes

OpenText Navigator