Los resultados se han publicado en el informe anual State of Software Security (SoSS) versión 12 de la empresa, que ha estudiado 20 millones de escaneos en medio millón de aplicaciones de los sectores sanitario, financiero, tecnológico, manufacturero, minorista y gubernamental.

Chris Eng, director de Investigación de Veracode, ha comentado: “La sanidad es uno de los sectores más regulados y es una infraestructura crítica para las autoridades. Es alentador que este sector esté funcionando bien en términos de parcheo de vulnerabilidades. Esperamos que los desarrolladores y el personal informático de este sector aprecien este resultado, que es un rayo de sol en el sector, a menudo demasiado oscuro, de la seguridad del software. Aunque todavía queda trabajo por hacer, esperamos que haya más mejoras en los próximos años”.

A pesar de ocupar el primer puesto en cuanto a la tasa de corrección, el 77 % de las aplicaciones del sector sanitario contienen vulnerabilidades, de las cuales el 21 % son especialmente graves. El sector también tiene que mejorar notablemente el tiempo que se dedica a reparar los fallos una vez detectados. Se tarda la friolera de hasta 447 días en llegar a la mitad del proceso de reparación.

Los costes de las infracciones en el sector sanitario son los más elevados

Las empresas del sector sanitario son las que soportan el mayor coste medio de una violación de datos, alcanzando un nuevo récord de 10,1 millones de dólares (IBM Security y The Ponemon Institute, “Cost of a Data Breach Report 2022”: julio de 2022 ). Por lo tanto, es esencial reaccionar de forma proactiva para minimizar el riesgo de un ciberataque. Dado que las violaciones de datos en los sectores altamente regulados tienden a asociarse con mayores costes a largo plazo, y a acumularse a lo largo de los años siguientes, el sector se beneficiaría de mayores esfuerzos para garantizar la seguridad en una fase más temprana del ciclo de vida del desarrollo del software.

De los seis sectores analizados, los proveedores de servicios sanitarios son los que ocupan el último lugar en cuanto a la proporción de aplicaciones con vulnerabilidades, y el penúltimo en cuanto a la proporción de vulnerabilidades de alta gravedad, es decir, aquellas que suponen un grave riesgo para la aplicación y la organización si suceden. En cuanto a los tipos de vulnerabilidad detectados en el análisis dinámico de aplicaciones del sector, los proveedores de servicios sanitarios obtienen buenos resultados en comparación con otros sectores en cuanto a problemas de autenticación y dependencias inseguras, pero menos en cuanto a la frecuencia de problemas de naturaleza criptográfica y en la configuración del despliegue.

Eng ha declarado: “Sabemos que ninguna aplicación estará nunca 100 % libre de vulnerabilidades de seguridad. Por lo tanto, es importante que las empresas tomen todas las medidas necesarias para minimizar el riesgo en la medida de lo posible. Esto incluye el escaneo regular y rápido con diferentes pruebas, la integración de herramientas de prueba en los entornos de los desarrolladores y la formación práctica para ayudar a los desarrolladores a entender y corregir el origen de los fallos, o incluso prevenirlos por completo. El sector sanitario también debe tener especial cuidado en dar la prioridad adecuada a los fallos críticos, es decir, a las vulnerabilidades que pueden tener efectos catastróficos si no se solucionan durante demasiado tiempo”.

Andrew McCall, vicepresidente de Ingeniería de Azalea Health Innovations, ha afirmado: “El mayor obstáculo para integrar la seguridad en nuestro flujo de trabajo es que los desarrolladores piensan en la seguridad sólo como una casilla de verificación. Sin embargo, la seguridad es un proceso continuo y es imprescindible tenerla en cuenta durante todo el ciclo de vida del desarrollo de software. Elegimos Veracode porque era la solución más fácil y mejor para integrar en nuestros flujos de trabajo existentes”.

Seguridad de las bibliotecas de terceros

A la luz de un fuerte aumento de las normativas de seguridad de la cadena de suministro de software en el último año, para el informe se analizaron bibliotecas de terceros con el fin de determinar cómo se comportan las vulnerabilidades encontradas a través del análisis de composición de software (SCA). En general, en cerca del 30 % de las bibliotecas vulnerables, los problemas seguían sin resolverse después de dos años. En el sector de la salud, sin embargo, esta cifra se redujo al 25 %. Mientras que la proporción global de bibliotecas vulnerables encontradas a través de SCA disminuyó de forma constante a lo largo del tiempo, la asistencia sanitaria experimentó un breve repunte antes de reducir drásticamente los índices de error el año pasado.

Estos datos representan a empresas grandes y pequeñas, proveedores de software comercial, contratistas de software y proyectos de código abierto. En la mayoría de los escaneos, la misma aplicación se contabilizó una sola vez, aunque se presentó varias veces a medida que se parcheaban las vulnerabilidades y se publicaban nuevas versiones.

Puede descargar un resumen del informe State of Software Security versión 12 de Veracode sobre salud aquí y ver el informe completo aquí.

My interview on modern #AppSec & development is up on the Microsoft Security, Compliance, and Identity Blog.

I talk about microservices, new threats, machine learning to secure code, IT/Dev & security working together, and closing the AppSec talent gap. https://t.co/si0hzJn8Xv

— Chris Wysopal (@WeldPond) September 15, 2022