La sesión abordó las perspectivas de los escenarios de uso actuales, el estado del arte de la tecnología, los retos en el diseño del software, y los requisitos de las organizaciones.
El mercado brinda en la actualidad herramientas tecnológicas con diferentes enfoques para asistir en el desarrollo de aplicaciones web seguras, así como para ayudar a mantener controladas las aplicaciones en explotación y protegerlas de nuevas formas de ataques o posibles agresiones a las que pudieran ser vulnerables. Ciertamente, dichas herramientas ayudan pero no suplen la buena práctica de contemplar la seguridad desde el principio. Los pasados 21 y 22 de junio, la Revista SIC celebró una nueva sesión de su espacio Respuestas SIC, seguidas por más de 250 asistentes, con el fin de ahondar en las distintas opciones que pueden adoptarse para alcanzar el objetivo de disponer de aplicaciones web con una seguridad razonable en un mundo conectado, y adaptadas a los negocios y a los tiempos de mercado. Para ello, la jornada contó con la participación de expertos en la materia, una amplia representación de compañías fabricantes con oferta específica en este campo y el siempre interesante punto de vista de los usuarios.
La jornada tuvo como invitados en su apertura a Vicente Aguilera Díaz, Director del Departamento de Auditoría de Internet Security Auditors y Responsable del Capítulo Español de OWASP (The Open Web Application Security Project); y Joaquín Crespo Pérez, Responsable de Producción de la Subdirección de Seguridad del recientemente adquirido por Logica, Grupo Gesfor. El primero de ellos centró su charla en el diseño de aplicaciones web seguras siguiendo el concepto de hack-resilient. Aguilera, igualmente, destacó los motivos por los que ha cobrado tanta relevancia la seguridad en la capa de aplicación y detalló las áreas clave con requerimientos de seguridad en las aplicaciones (arquitectura de seguridad, autenticación, gestión de sesiones, control de acceso, validación de entradas, codificación de salida, criptografía, gestión de errores y logging, protección de datos, seguridad en la comunicación, en HTTP, en la configuración, búsqueda de código malicioso, y seguridad interna). Por su parte, el representante de Logica disertó sobre la estrategia y escenarios tras la puesta en producción, destacando el hecho de que el mayor porcentaje de ataques actuales se orientan a las aplicaciones y que el grueso de vulnerabilidades está precisamente relacionado con ellas, aunque el porcentaje de inversión en protección de aplicaciones no sigue la tendencia de los datos anteriores. Crespo defendió que el mercado debe apostar más por la protección a nivel de aplicación tanto por la madurez de la tecnología de la industria como por la existencia de normativa y modelos de madurez. Con respecto a las tecnologías de cortafuegos de aplicaciones web (WAF) apuntó los requisitos a exigir a este tipo de soluciones, los beneficios directos de su uso y la gestión global del riesgo a partir del WAF.
Con este enfoque, y a el fin de contextualizar los problemas relacionados con el acceso a información sensible, los flujos de información estructurada y no estructurada y su tratamiento, los diferentes escenarios de fuga de información, los productos y controles disponibles, así como los retos de la implantación y el despliegue, la jornada contó con las aportaciones de Rafael Ortega García, Socio Director de IT Risk and Assurance de Ernst & Young, y de Alfonso Martín Palma, Gerente Senior de Seguridad TIC de Indra.
Posteriormente, en un segundo bloque, el evento abrió el turno a la participación de seis portavoces de otras tantas compañías fabricantes en cuyos portafolios hay una destacada presencia de las tecnologías objeto de debate: Joaquín Reixa, Director General de Check Point Software Technologies Iberia; Fernando Vega, Director Técnico de McAfee para Iberia; Javier Jarava, Ingeniero de Sistemas Senior de RSA España; Pablo Martínez, Responsable del Área de Desarrollo de Negocio para DLP y Cumplimiento Normativo para España y Portugal de Symantec; María Fernández, Ingeniero de Preventa de Trend Micro España, y Manuel Arrevola, Director General para España y Portugal de Websense.
Tecnología y servicios
Seguidamente, siete representantes de firmas fabricantes de tecnología y servicios relacionados con los diferentes escenarios en los que hay que contemplar la seguridad de aplicaciones web, presentaron sus propuestas para este ámbito: Eusebio Nieva, Director Técnico de Check Point Iberia; Jaume Eyerbe, Director de Ventas de Fortify (an HP Company); Acacio Martín, Director de Ventas para Iberia de Fortinet; Jessica Valderrama, Responsable de Ventas de Seguridad de Aplicaciones para España, Portugal, Grecia e Israel, de IBM Rational Software; Jesús Vega, Director Regional de Ventas para España y Portugal de Imperva; Jesús Díaz-Barrero, Director de Preventa para España y Portugal de Palo Alto Networks; e Isaac Fores, Director General para Iberia de SonicWall.
Con posterioridad se abrió un turno de preguntas en el que la audiencia planteó sus dudas a cerca de cuál es el papel actual de los departamentos de diseño en la seguridad de las aplicaciones o cómo reciben los integradores este tipo de tecnologías. En este sentido, se destacó la en ocasiones falta de formación y concienciación por parte de estos departamentos y la necesidad de madurar modelos que permitan tanto el desarrollo en los tiempos establecidos como la calidad del software. Asimismo, se subrayó que para los integradores esta es una nueva e interesante vía de negocio que se abre.
El coloquio también permitió conocer la opinión de los participantes en torno a por dónde empezar en un proyecto de seguridad de aplicaciones, el uso de este tipo de soluciones por parte de software factories o las sinergias de estas tecnologías con los departamentos de auditoría interna de seguridad.
.
La visión de BBVA y Metro de Madrid
El tramo final de la jornada, en el que habitualmente expertos de compañías usuarias brindan su punto de vista sobre los escenarios de uso, las limitaciones y las necesidades futuras de las propuestas analizadas en la sesión, tuvo en esta ocasión como invitados a Ignasi Domingo González, Responsable de Proyectos Globales de Prevención Tecnológica del Fraude en BBVA; y Antonio S. Martínez García, Responsable del Área de Seguridad Informática de Metro de Madrid. Desde la empresa del suburbano de Madrid, actualmente los servicios de Metro no son susceptibles de ofrecerse a través de web, aunque cada vez la compañía tiene más presencia en este entorno y planea dar el salto a la venta de billetes por Internet.