martes, 17 de febrero de 2009

Los negocios basados en la web pueden estar tranquilos: IBM los respalda



IBM anunció hoy nuevas capacidades diseñadas para abordar las preocupaciones de seguridad y cumplimiento regulatorio de las empresas que crean sitios web dinámicos e interactivos. A medida que las empresas infunden más contenido Web 2.0 en su presencia global en línea, están viendo un mayor riesgo de vulnerabilidades de seguridad. Utilizando IBM Rational AppScan, las empresas ahora pueden probar aplicaciones basadas en Web 2.0 para identificar vulnerabilidades de seguridad en forma frecuente, contribuyendo a proporcionar experiencias web a los clientes con mayor seguridad contra hackers. Las nuevas funcionalidades también mejoran las capacidades de los clientes de abordar los mandatos regulatorios y de satisfacer las políticas de negocio.

Ayudar a asegurar las empresas en línea ante vulnerabilidades Web 2.0 y SOA

Según el reciente 2008 IBM X-Force Trend Report, las aplicaciones web siguen siendo el talón de Aquiles de la industria de la seguridad. De hecho, más de la mitad de todas las vulnerabilidades divulgadas en 2008 se basaban en aplicaciones web. Muchas de estas vulnerabilidades pueden prevenirse o evitarse adoptando un enfoque preventivo de la seguridad.

A pesar de estas deficiencias, las empresas dependen cada vez más de su presencia en la web como la cara de su negocio, para impulsar la colaboración y el desarrollo de comunidades y para generar nuevas oportunidades en la economía global actual. Para mantenerse competitivas, las organizaciones utilizan un nuevo conjunto de aplicaciones Web 2.0, derivadas de tecnologías tales como la plataforma Adobe® Flash®, o Ajax (Asynchronous JavaScript y XML), a fin de crear sitios web interactivos y gráficamente ricos. Sin embargo, debido a la naturaleza dinámica y cambiante de estas tecnologías, las empresas enfrentan nuevos desafíos de satisfacer las necesidades de seguridad y cumplimiento regulatorio de sus negocios en línea.

Los hackers y otros ciber-delincuentes hacen blanco en las tecnologías Web 2.0 debido a que son tan difundidas. Con IBM Rational AppScan Standard Edition 7.8, IBM está presentando nuevas funcionalidades que permiten a las empresas escanear y testear contenido y aplicaciones web ricas en base a Flash para verificar si tienen defectos de seguridad antes de que se despliegue su contenido. Este nuevo software también puede escanear sitios web con tecnología Ajax.

“El uso de tecnologías de la Plataforma Adobe Flash en la empresa está creciendo, y el software IBM Rational AppScan puede ayudar a los creadores de contenido a adoptar un enfoque preventivo de la seguridad,” comentó Brad Arkin, director del Secure Software Engineering Team de Adobe. “Al escanear y testear potenciales problemas en el código en las etapas iniciales del desarrollo, las empresas pueden ayudar a prevenir problemas de seguridad y cumplimiento antes de que se produzcan.”

Para las empresas a las que les preocupa que sus servicios web enfrenten las mismas vulnerabilidades que sus aplicaciones web, la nueva versión de IBM Rational AppScan ahora también da soporte a aplicaciones complejas basadas en Service Oriented Architecture (SOA). Esta nueva tecnología de IBM da a las organizaciones la capacidad de escanear sus servicios web críticos, lo cual representa un importante paso adelante en el soporte de testeo disponible para ambientes SOA.

Administrar el riesgo continuo del cumplimiento regulatorio y la seguridad

IBM también anunció hoy nuevas funcionalidades de evaluación de riesgo en esta nueva versión de IBM Rational AppScan. Los nuevos atributos ayudan a los clientes a entender mejor dónde están ubicadas las vulnerabilidades de seguridad y a sugerir un plan de acción para minimizar el riesgo adicional. Según la investigación de IBM, 80% del tiempo de los usuarios se dedica a administrar los resultados de scans de seguridad.* Incluso después de que se identifica un problema, los usuarios pueden tener dificultad en entender de qué se trata, validar si realmente existe, determinar cuál es su gravedad y comunicarlo a otros equipos que pueden ayudar a resolver el problema. Con IBM Rational AppScan, los clientes ahorrarán valioso tiempo y dinero al recibir resultados que se comunican en un lenguaje común que puede ser comprendido por los que no son expertos en seguridad.

A través de nuevas capacidades de monitoreo de producción incorporadas a la oferta Rational AppScan OnDemand de IBM, los usuarios también pueden detectar y ser alertados de vulnerabilidades, con lo cual es más rápido y fácil reparar fallas y mantenerse en cumplimiento. Esto resulta especialmente crítico para las organizaciones que realizan cambios frecuentes a sus sitios web y tienen una mayor necesidad de escanear vulnerabilidades de seguridad periódicamente. Por ejemplo, una gran compañía que actualiza su sitio web cada 15 minutos ahora puede escanear automáticamente su aplicación en línea cuatro veces por hora (es decir, 96 veces por día), lo cual contribuye a crear una experiencia en línea más segura para sus clientes.

Adicionalmente, los dispositivos móviles pueden recibir alertas de seguridad a medida que surgen, lo cual permite a los clientes una rápida reparación de las vulnerabilidades. Anteriormente, los expertos en seguridad sólo probaban las aplicaciones antes de que entraran en producción, lo cual no cubría los riesgos adicionales que se plantean después de la implementación. Hoy, la velocidad y capacidad de respuesta son cruciales en el manejo de aplicaciones dinámicas, en vista del tiempo y el dinero que las organizaciones pueden perder por no poder cumplir con los mandatos regulatorios o por exponer los datos de sus clientes a la actividad de los hackers. Con IBM Rational AppScan OnDemand, los clientes ahora cuentan con la seguridad de que pueden actuar continuamente para proteger sus sitios web y administrar los riesgos de cumplimiento.

Abordar la seguridad y el cumplimiento regulatorio en todo el ciclo de vida

Los clientes también pueden reducir costos implementando testeo de seguridad en todo el ciclo de vida del software, desde el desarrollo hasta la post-producción. El software de mala calidad y plagado de defectos cuesta a las empresas miles de millones de dólares anualmente ** en tanto que el costo de identificar y reparar un defecto de software en un producto que ya está siendo usado por consumidores puede superar los US$16,000*** por defecto. Al integrar IBM Rational AppScan Tester Edition al recientemente lanzado IBM Rational Quality Manager, los equipos de desarrollo de software pueden incorporar testeo de seguridad y cumplimiento al proceso de creación y provisión de software, evitando muchos problemas que pueden ser extremadamente costosos de arreglar en etapas posteriores del ciclo de vida de la provisión de software.

“Estamos presenciando una tendencia, la de los gobiernos que exigen a las organizaciones que proporcionen software construido con código con seguridad testeada. Claramente, la seguridad de las aplicaciones va camino a convertirse en un requisito de cumplimiento, no sólo una mejor práctica,” señaló Daniel Colunga, Gerente de Ventas de Rational Software en IBM México, Centroamérica y el Caribe. “Para los clientes, ahora es más crucial que nunca antes tratar la seguridad y el cumplimiento como una prioridad clave. Al ofrecer a los clientes la capacidad de infundir testeo de seguridad continuo en el desarrollo de sus aplicaciones Web 2.0 y SOA, IBM puede ayudarlos a reducir costos, administrar el riesgo y proporcionar mejores experiencias en línea para los consumidores.”

IBM Rational ofrece soluciones de seguridad que cubren todas las áreas de provisión de aplicaciones, incluidas las fases de desarrollo, prueba, despliegue y operaciones. Para ver más información sobre las soluciones de seguridad de IBM, visite:
http://www.ibm.com/software/rational/offerings/websecurity/.


###



*Estudio interno IBM.
** Según informe 2002 sobre el Instituto Nacional de Ciencia y Tecnología (NIST) del Departamento de Comercio de los EEUU.
***Applied Software Measurement, Caper Jones, 1996.

AppScan está diseñado para identificar una variedad de problemas potenciales de seguridad y cumplimiento regulatorio en aplicaciones web. No testea todas las vulnerabilidades ni todos los riesgos de cumplimiento, ni actúa como barrera contra los ataques a la seguridad. IBM no declara ni garantiza que AppScan proporcione información completa sobre vulnerabilidad o cumplimiento ni que su aplicación web sea segura o esté en cumplimiento. La información provista por AppScan no constituye asesoramiento legal. La seguridad, el cumplimiento de su sitio web y toda acción correctiva es exclusivamente su responsabilidad y usted debe procurar su propio asesoramiento legal. Las amenazas de seguridad, las regulaciones y las normas cambian constantemente y AppScan puede no reflejar todos los cambios que se produzcan.

No hay comentarios:

Publicar un comentario