La seguridad está en la mente de todos los profesionales de TIC. Por lo tanto, no es de extrañar que al evaluar la programación de bajo código (low-code), seguramente se pregunten: “¿Es seguro?”. Vamos a responder a esta pregunta y a otras que los responsables de TIC tienen sobre la seguridad de la programación de bajo código. También dónde encaja en el estado de la seguridad en el desarrollo de software actual.
No es noticia que la ciberdelincuencia está creciendo y volviéndose más sofisticada a medida que las empresas entran en nuevas etapas de madurez digital. Las crecientes amenazas cibernéticas han llevado a los CIO y CISO a replantearse la forma en que sus equipos de desarrolladores producen software. Dos vectores principales han provocado ese cambio: la falta de profesionales de ciberseguridad disponibles en el mercado y la creciente demanda para adoptar prácticas DevSecOps.
Según el Cybersecurity Jobs Report, en 2021 había 3.5 millones de empleos en ciberseguridad sin cubrir; no se espera que la cifra disminuya antes de 2025. La creciente ciberdelincuencia impulsa la demanda de expertos en ciberseguridad mucho más rápido de lo que la industria y las universidades pueden cubrir.
Déficit de expertos
Gartner aconseja “automatizar las partes aburridas” —como revisiones manuales de registros— para que los miembros del equipo se dediquen a actividades de valor agregado. Un informe reciente del grupo de ciberseguridad (ISC)2 señala el uso de la inteligencia y la automatización para tareas manuales de ciberseguridad como una de las principales inversiones tecnológicas para superar la brecha de talento. También indica que en 2022 en México había un déficit de cerca de 400,000 expertos en ciberseguridad. Ese es el número de profesionales especializados que se necesitan para atender la creciente demanda.
Con el enfoque DevSecOps, la ciberseguridad se debe incorporar desde la recopilación y el análisis de los requisitos hasta el diseño de la arquitectura, la implementación y las pruebas. Sin embargo, este mundo ideal es muy distinto de la realidad.
Según el informe The State of DevSecOps de Contrast Security:
●El 79 % de las organizaciones encuestadas afirma que su equipo de DevOps es presionado para acortar los ciclos de lanzamiento.
○Un 40 % de los encuestados afirma que sus equipos a veces o a menudo se saltan procesos de seguridad para cumplir los plazos.
●El 62% afirma que los desarrolladores dejan de codificar para corregir vulnerabilidades al menos cada dos o tres días. El 27% lo hace a diario.
○Casi 8 de cada 10 encuestados afirman que la aplicación media tiene 20 o más vulnerabilidades.
Este informe muestra que los responsables de TIC tienen una ardua lucha en materia de ciberseguridad. Por un lado, es difícil contratar desarrolladores con los conocimientos de seguridad necesarios. Por otro, formar al personal existente para que integre las prácticas de seguridad en todo el ciclo de vida requiere tiempo y perseverancia.
Seguridad para la programación de bajo código
Gartner ha señalado la seguridad como uno de los principales obstáculos a la adopción de las plataformas de programación de bajo código. La razón es que abstraen el código, lo cual se percibe como un sacrificio de la seguridad en favor de la velocidad. Por otra parte, existe la idea de que requieren profesionales de ciberseguridad aún más especializados que DevSecOps. También, que la capacitación de los desarrolladores en seguridad será una pérdida de tiempo.
Lo cierto es que la programación de bajo código tiene cabida en el panorama actual de la seguridad en el desarrollo de software. Incluso las plataformas de programación de bajo código más básicas ofrecen protecciones de seguridad. Pueden comprobar automáticamente las vulnerabilidades y el rendimiento e integrarse con las herramientas de comprobación existentes. Esta automatización reduce los pasos manuales de seguridad y aumenta considerablemente la productividad de los desarrolladores.
Ahora bien, para los casos de uso de seguridad empresarial, las plataformas de programación de bajo código más básicas podrían no ser suficientes. Si se trata de sectores muy regulados, como el sanitario, es necesario asegurarse de que la plataforma cumple determinadas normativas.
Por otra parte, en el caso de una plataforma de programación de bajo código como servicio, las actualizaciones del proveedor podrían no ser coherentes con la política de seguridad de la empresa. No ayuda que no todas las plataformas programación de bajo código ofrezcan las mismas prestaciones o cubran los mismos casos de uso. Por eso, la seguridad es uno de los principales diferenciadores entre las plataformas low-code.