Productos y soluciones
Soluciones para sectores específicos
Soluciones empresariales
Asistencia y servicios
IT Professional Services
Educación y formación
Programas de formación
Acerca de
Acerca de nosotros
Noticias y actividades
Partners
Contacto
La seguridad de las aplicaciones es la disciplina que se ocupa de los procesos, la herramientas y las prácticas utilizadas para proteger las aplicaciones de las amenazas a lo largo de su ciclo de vida útil. Los cibercriminales están organizados, especializados y motivados para detectar y aprovechar las vulnerabilidades en aplicaciones empresariales, con el fin de robar datos, propiedad intelectual e información confidencial. La seguridad de las aplicaciones puede ayudar a las organizaciones a proteger toda clase de aplicaciones (tales como los sistemas heredados, de escritorio, microservicios) utilizados por las partes interesadas internas y externas, entre los que se incluyen clientes, socios de negocio y empleados.
Según confirman múltiples estudios, la mayoría de las infracciones que tienen éxito se dirigen a vulnerabilidades explotables que residen en la capa de la aplicación, lo que indica la necesidad de que los departamentos de TI de la empresa estén muy atentos a la seguridad de las aplicaciones. Para agravar aún más el problema, el número y la complejidad de las aplicaciones está creciendo. Hace diez años, el desafío de la seguridad del software consistía en proteger las aplicaciones de escritorio y los sitios web estáticos, que eran bastante inocuos y fáciles de detectar y proteger. Ahora, la cadena de suministro de software es mucho más compleja considerando el desarrollo externalizado y el número de aplicaciones heredadas, además del desarrollo interno que aprovecha los componentes de software de terceros, de código abierto y comerciales, disponibles en el mercado.
Las organizaciones necesitan soluciones de seguridad que abarquen todas sus aplicaciones, desde las que se utilizan internamente hasta las aplicaciones externas más populares que se utilizan en los teléfonos móviles de los clientes. Estas soluciones deben cubrir toda la fase de desarrollo y ofrecer pruebas después de utilizar una aplicación para supervisar problemas potenciales. Las soluciones de seguridad de las aplicaciones deben ser capaces de analizar las vulnerabilidades potenciales y explotables de las aplicaciones web, tener la capacidad de analizar el código, ayudar a gestionar los procesos de gestión de la seguridad y el desarrollo coordinando los esfuerzos y permitiendo la colaboración entre las distintas partes interesadas. Las soluciones también deben ofrecer pruebas de seguridad de aplicaciones que sean fáciles de usar e implementar.
SAST, que son las siglas de Static Application Security Testing (pruebas de seguridad de aplicaciones estáticas), analiza los archivos fuente de la aplicación, identifica con precisión la causa del problema y ayuda a solucionar los defectos de seguridad subyacentes.
DAST, siglas de Dynamic Application Security Testing (pruebas de seguridad de aplicaciones dinámicas), simula ataques controlados a una aplicación o a un servicio web en ejecución para identificar vulnerabilidades explotables en un entorno en ejecución.
SCA , siglas de Software Composition Analysis (análisis de composición de software) es un proceso automatizado que ayuda a identificar y realizar un seguimiento de los componentes de código abierto utilizados en las aplicaciones. Las herramientas de SCA más sólidas pueden analizar todos los componentes de código abierto para determinar el riesgo de seguridad, el cumplimiento de licencias y la calidad del código.
Las soluciones de seguridad de las aplicaciones consisten en el software de ciberseguridad (las herramientas) y las prácticas que ejecutan el proceso para proteger las aplicaciones.
En el entorno local
Las soluciones de pruebas de seguridad de aplicaciones pueden ejecutarse en el entorno local (internamente), donde las operan y mantienen equipos internos. Este enfoque requiere que las organizaciones proporcionen la infraestructura y el personal, y que adquieran soluciones de seguridad de las aplicaciones para que estos las utilicen. Las soluciones locales garantiza a las organizaciones que los datos de sus aplicaciones no se comparten con terceros y que no salen de sus instalaciones.
SaaS
El enfoque SaaS de la seguridad de las aplicaciones proporciona soluciones basadas en la nube con una interfaz de usuario basada en la web, lo que permite al cliente configurar, aplicar y gestionar la seguridad de las aplicaciones. Esta opción también requiere que las organizaciones proporcionen el personal y la experiencia necesarios para ejecutar las diversas herramientas de prueba de la seguridad de aplicaciones, pero sin que corra de su cargo la infraestructura, el mantenimiento, las actualizaciones, etc.
Servicios gestionados
La seguridad de las aplicaciones también puede ofrecerse en forma de servicios gestionados , en cuyo caso, el cliente consume servicios que el proveedor de seguridad de las aplicaciones proporciona como una solución "llave en mano". Este enfoque no requiere ninguno de los requisitos previos del enfoque local, pero sí precisa confiar parcial o totalmente en el proveedor de SaaS y, en la mayoría de los casos, permitir que los datos de las aplicaciones se compartan con el proveedor. La seguridad de las aplicaciones como servicio gestionado es una manera fácil de comenzar y ofrece capacidad de ampliación y velocidad. Las implementaciones híbridas (que combinan los enfoques local, SaaS y de servicios gestionados en diferentes proyectos y prácticas) tienen como objetivo proporcionar lo mejor de las tres opciones, proporcionando flexibilidad, capacidad de ampliación y optimización de costes.
OWASP, acrónimo de Open Web Application Security Project (proyecto abierto de seguridad de aplicaciones web) es una comunidad de seguridad de las aplicaciones de código abierto cuyo objetivo es mejorar la seguridad del software. Sus directrices OWASP Top 10 estándar del sector proporcionan una lista de los riesgos de seguridad de las aplicaciones más críticos con el fin de ayudar a los desarrolladores a proteger mejor las aplicaciones que diseñan e implementan.
Las soluciones de seguridad de aplicaciones de OpenText ofrecen pruebas de la seguridad de las aplicaciones y gestión en las instalaciones, a modo de servicios alojados y SaaS para ayudar a las empresas a proteger sus aplicaciones de software, incluidas las aplicaciones heredadas, móviles, de terceros y de código abierto.
Las ofertas de Fortify incluyen análisis de código estático, pruebas de seguridad de aplicaciones dinámicas, análisis de composición de software (SCA) y herramientas interactivas de pruebas de seguridad de las aplicaciones para proporcionar seguridad de código para sus aplicaciones web, API, aplicaciones móviles, infraestructura como código, contenedores y cadena de suministro de software.
Las soluciones incluyen lo siguiente:
Fortify Static Code Analyzer - Pruebas de seguridad de aplicaciones estáticas (SAST). Identifica y localiza las vulnerabilidades de seguridad en el código fuente en una fase temprana del ciclo de desarrollo de software.
Fortify WebInspect - Pruebas de seguridad de aplicaciones dinámicas (DAST). Simula los ataques de seguridad en el mundo real en una aplicación activa para ofrecer un análisis completo de servicios y aplicaciones web complejos.
Pruebas de seguridad de aplicaciones interactivas (IAST). Integración de nuestras pruebas dinámicas y análisis del tiempo de ejecución para identificar más vulnerabilidades ampliando la cobertura de la superficie de ataque y exponiendo los ataques mejor que solo con las pruebas dinámicas.
Fortify on Demand – Seguridad como servicio. Una forma sencilla, fácil y rápida de probar aplicaciones con precisión sin la necesidad de instalar o gestionar software o añadir recursos adicionales.
Mobile Security – Metodología de pruebas de aplicaciones móviles que evalúa los tres niveles, incluyendo el cliente, la red y el servidor.
Fortify Insight. Agregue y analice numerosas fuentes de datos previamente aislados y visualícelos en un panel empresarial para obtener información procesable.
Software Security Assurance. Repositorio de gestión centralizado que ofrece visibilidad que ayuda a resolver vulnerabilidades de seguridad.
Fortify Software Security Center Repositorio de gestión centralizado que ofrece visibilidad a todo el programa de pruebas de seguridad de aplicaciones. Proioriza, gestiona y realiza el seguimiento de las actividades de prueba de seguridad y proporciona una imagen precisa de los riesgos de la seguridad del software en toda la empresa.
¿Qué es la ciberseguridad?
Blog: Integración de la seguridad de las aplicaciones en sus operaciones de software
Blog: Donde la seguridad de las aplicaciones móviles encaja en la experiencia del usuario
Recursos de seguridad de la información de SANS
Recursos de seguridad de TI según Computer weekly
Recursos de seguridad según Dark Reading
¿Qué es DAST?
¿Qué es la capacidad de recuperación cibernética?
Forrester Wave: Pruebas de seguridad de aplicaciones estáticas
Historias de éxitos de clientes de Fortify
¿Qué es el Top 10 de OWASP?
Descargue el Gartner Magic Quadrant de 2021 para pruebas de seguridad de aplicaciones
Vídeo: AppSec 101 . Serie de YouTube donde se explican los aspectos básicos de la seguridad de las aplicaciones.
Informe oficial: Creating a Software Supply Chain You Can Trust
Webinar en vídeo: Serie de webinars sobre la seguridad del código
Informe: Gartner® Magic Quadrant™ para pruebas de seguridad de aplicaciones
Casos prácticos: DevSecOps, Seguridad de la cadena de suministro de software, Transformación de la nube, Madurez a escala
OWASP Top 10 Most Critical Web Application Security Risks
Informe: AppSec Trend Report