El 72% de las aplicaciones de servicios financieros contienen fallos de seguridad; el análisis mediante la API y la formación interactiva en seguridad reducen la probabilidad de introducción de fallos al 22%
El sector encabeza las principales industrias en el Informe sobre el estado de la seguridad del software 2023BURLINGTON, Mass.–(BUSINESS WIRE)–Veracode, proveedor líder mundial de seguridad de software, ha publicado hoy un nuevo estudio que revela los factores clave que influyen en la introducción y acumulación de fallos en el sector de los servicios financieros. El rendimiento de la seguridad de las aplicaciones financieras suele superar al de otros sectores, y la automatización, la formación específica en seguridad y el análisis a través de la interfaz de programación de aplicaciones (API) contribuyen a reducir año tras año el porcentaje de fallos en las aplicaciones.
Con el telón de fondo de las principales normativas que afectan al sector de los servicios financieros, incluidas las normas de divulgación de ciberseguridad de la Comisión de Bolsa y Valores de EE.UU. y la Ley de Resiliencia Operativa Digital (DORA) de la UE, el estudio de Veracode ofrece recomendaciones para reducir los riesgos derivados del software vulnerable. Aunque casi el 72% de las aplicaciones del sector de los servicios financieros contienen fallos de seguridad, esta cifra es la más baja de todos los sectores analizados y representa una mejora con respecto al año pasado.
“En el análisis de este año, los servicios financieros han destacado en todos los ámbitos,” declara Chris Eng, director de investigación de Veracode. “El aumento de la competencia y de las expectativas de los clientes, junto con el endurecimiento de las normativas en todo el sector, han aumentado la presión sobre los desarrolladores y los equipos de seguridad para encontrar y corregir fallos a escala. Además, la explosión de la IA y el aprendizaje automático ha llevado el ritmo de desarrollo de software a un nuevo nivel, lo que ha provocado la hiperproliferación de fallos. El sector ha hecho bien en mejorar su rendimiento, pero queda mucho por hacer. Las organizaciones financieras se beneficiarían de una mayor automatización y de técnicas de codificación seguras que les ayudaran a prevenir, detectar y responder a las vulnerabilidades con mayor rapidez que nunca.”
El análisis de API y la formación reducen la probabilidad y la introducción de fallos
El estudio de Veracode ha revelado que las organizaciones de servicios financieros perciben mayores efectos de los elementos positivos del análisis a través de la API y la formación en seguridad, en comparación con la media del sector. El análisis mediante API es una medida de la madurez de un programa de seguridad de software. Cuando las empresas integran el uso de API, es probable que dispongan de una mayor automatización y control sobre el proceso de desarrollo. Aquellas que aprovechan el análisis mediante la API obtienen resultados superiores en un 11% a la probabilidad de referencia de las no financieras en lo que respecta a la introducción de fallos al mes. Si a esto le añadimos la formación interactiva en seguridad, la probabilidad de que se introduzcan fallos al mes se reduce aún más, ya que la combinación de ambos factores disminuye en un 19 %.
El efecto del análisis a través de la API y de la formación en seguridad sobre el número de fallos en caso de que se introduzcan, es aún más pronunciado. Cuando los equipos de Servicios Financieros completaron 10 módulos de formación interactiva en seguridad, introdujeron un 26% menos de fallos, lo que sitúa el rendimiento del sector muy por encima de la media de todo el sector. Del mismo modo, el lanzamiento de análisis a través de la API tuvo una mayor influencia en el número de fallos introducidos en las aplicaciones de los servicios financieros que en otros sectores
Eng dice: “Los datos indican que las organizaciones de servicios financieros se benefician considerablemente de la automatización mediante el uso de API. Alcanzar la automatización es una meta a la que aspiran muchas organizaciones, pero vemos que el lanzamiento de análisis a través de API se correlaciona con una menor probabilidad de que se introduzcan fallos. Luego, se reduce la cantidad de fallos que consiguen introducirse en el software. Como era de esperar, la formación también tiene una correlación directa con una menor introducción de fallos.”
El poder de la IA y el aprendizaje automático
El informe del Estado de la seguridad del software también analizó las preferencias de lenguaje por vertical. En el 51% de los casos, Java es casi un estándar de facto en el sector de los servicios financieros. Veracode Fix, una herramienta de corrección impulsada por IA lanzada a principios de este año, aprovecha el aprendizaje automático para generar correcciones del 74% de los hallazgos estáticos de Java. Una reducción tan drástica del tiempo y el esfuerzo permite a las organizaciones mejorar la postura de seguridad y reducir aún más los riesgos, liberando capacidad para la innovación y la creación. Dado que las aplicaciones Java están compuestas en su inmensa mayoría (>95%) por código de terceros, los datos de Veracode demuestran los beneficios que aporta a la industria el Análisis de Composición de Software para reforzar la seguridad e integridad de la inclusión de código de fuente abierta.
El Informe del Estado de la seguridad del software: Servicios Financieros, con todos los detalles y recomendaciones, está disponible para su descarga en el sitio web de Veracode.
El informe completo de Veracode sobre el Estado de la seguridad del software en 2023 está disponible para su descarga aquí.
Acerca del Informe del Estado de la seguridad del software
El 13º volumen del informe anual de Veracode sobre el Estado de la seguridad del software examina las tendencias históricas que conforman el panorama del software y cómo las prácticas de seguridad están evolucionando junto con esas tendencias. Las conclusiones de este año se basan en todos los datos históricos disponibles de los servicios y clientes de Veracode y constituyen una muestra representativa de grandes y pequeñas empresas, proveedores de software comercial, subcontratistas de software y proyectos de código abierto. El informe analiza los datos recogidos en más de 27 millones de análisis de 750.000 aplicaciones y contiene resultados sobre aplicaciones que fueron sometidas al análisis estático, análisis dinámico, análisis de composición de software y/o pruebas de penetración manuales a través de la plataforma basada en la nube de Veracode. Este nuevo informe destaca los resultados específicos de los servicios financieros frente a la industria de la manufactura, el comercio minorista y la hostelería, la tecnología, la sanidad y el sector público.
Acerca de Veracode
Veracode es seguridad de software inteligente. La plataforma de seguridad de software Veracode encuentra continuamente fallos y vulnerabilidades en cada etapa del ciclo de vida de desarrollo de software moderno. Gracias a una potente IA entrenada en un conjunto de datos de confianza cuidadosamente seleccionados a partir de la experiencia en el análisis de billones de líneas de código, los clientes de Veracode solucionan los fallos con mayor rapidez y precisión. Con la confianza de los equipos de seguridad, desarrolladores y líderes empresariales de miles de organizaciones líderes en el mundo, Veracode es pionera y continúa redefiniendo lo que significa la seguridad inteligente del software.
Obtenga más información en www.veracode.com, en el blog de Veracode , y en LinkedIn yTwitter.
Copyright © 2023 Veracode, Inc. Quedan reservados todos los derechos. Veracode es una marca registrada de Veracode, Inc. en Estados Unidos y puede estar registrada en otras jurisdicciones. El resto de los nombres de productos, marcas o logotipos pertenecen a sus respectivos propietarios. Todas las demás marcas citadas en este documento pertenecen a sus respectivos propietarios.
El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal. Contacts
Katy Gwilliam
[email protected]