Reducción drástica del costo de las pruebas de AppSec móvil

Si bien las pruebas de seguridad de aplicaciones web han logrado un modelo de costo y riesgo relativamente estable, la mayoría de las organizaciones aún luchan con las pruebas de seguridad de aplicaciones móviles. El móvil es fundamentalmente diferente, por lo que tradicionalmente es más difícil y costoso de probar.

Muchas organizaciones luchan con las pruebas de appsec móvil debido a la falta de recursos, desafíos tecnológicos, habilidades insuficientes y falta de comprensión sobre los costos y la economía de varias opciones de prueba. Al mismo tiempo, enfrentan niveles de riesgo cada vez mayores, particularmente en industrias comúnmente atacadas por piratas informáticos.

Al final, los líderes de seguridad pueden sentirse atrapados entre la necesidad de administrar el riesgo y el presupuesto disponible. De lo que no se dan cuenta es que las organizaciones pueden implementar herramientas automatizadas que ofrecen pruebas de seguridad continuas todos los días por menos de la mitad del costo de una prueba de penetración subcontratada. Examinemos cuatro modelos de costos comunes y consideremos cómo brindar la máxima eficiencia con un costo y un riesgo mínimos.

El siguiente gráfico muestra las opciones claras y las oportunidades convincentes para que las organizaciones las evalúen.

Reduccion drastica del costo de las pruebas de AppSec movil

Alto riesgo

Ya sea atribuido a una obsesión con las aplicaciones web o a los desafíos técnicos de las pruebas de seguridad de aplicaciones móviles, un sorprendente número de organizaciones no realiza ninguna prueba formal de seguridad de aplicaciones móviles. Pueden invertir en probar la aplicación web y asumir que el móvil funciona de manera similar. O tal vez les faltan las herramientas o la experiencia necesaria.

Si bien esto ofrece la opción más barata a un costo de cero dólares, podrían perder una fortuna si ocurre una violación: reputación dañada, caída del precio de las acciones, pérdida de confianza del cliente y altos costos de remediación. $ 148 por registro en 2018, según el «Costo de 2018 de un instituto de violación de datos: descripción general global» del Ponemon Institute. Francamente, simplemente no vale la pena el riesgo.

Alto costo

Reconociendo la necesidad de probar la seguridad de las aplicaciones móviles, una organización puede optar por contratar a un pen tester. Esto generalmente implica pasar varios meses para contratar a un evaluador de penetración que improvisa un kit de herramientas de código abierto, scripts y pruebas de botón que consumen mucho tiempo. Una prueba de penetración manual suele tardar entre una y dos semanas en completarse y cuesta aproximadamente 5000 dólares en mano de obra y herramientas.

Si una organización construye y lanza diariamente y realiza una prueba de penetración manual una vez al mes, eso costaría alrededor de $ 60,000 por año. Siendo realistas, nadie puede permitirse esto. Y si bien esto ayuda a contener el riesgo, tiene un costo prohibitivo y aún deja brechas en la cobertura entre las compilaciones diarias y las pruebas mensuales.

Subcontratación provisional

Reconociendo la falta de tiempo, recursos y experiencia, las organizaciones a menudo subcontratan las pruebas de penetración de aplicaciones móviles. NowSecure y otros expertos externos ofrecen dichos servicios. Pero a un costo de $ 15,000 a $ 25,000 por prueba y un tiempo de respuesta de dos a cuatro semanas, la mayoría de las organizaciones solo pueden permitirse hacer esto una vez al año.

Y con los nuevos lanzamientos de aplicaciones móviles semanales o incluso diarios, los riesgos aumentan después de que se completa una prueba de penetración hasta que se realiza nuevamente un año después. Si bien es mejor que el modelo de alto costo, esta brecha en la cobertura entre las pruebas de penetración anuales crea un riesgo sustancial. Aumentar la frecuencia de las pruebas de penetración a trimestralmente aumentaría el costo hasta $ 60,000 por año, una propuesta poco atractiva dado que podría realizar pruebas de penetración internas mensuales por la misma inversión anual.

Máxima eficiencia

Como tantos otros procesos en la organización, las organizaciones pueden recurrir a la automatización. Una cadena de herramientas automatizada impulsa el cambio de ágil a DevOps para impulsar la máxima eficiencia y ciclos de lanzamiento más rápidos. Si bien DevOps toca a los desarrolladores, el control de calidad, las operaciones y los equipos de producción, la seguridad se quedó principalmente atrás.

Pero ahora los equipos de seguridad y DevOps de aplicaciones móviles pueden aprovechar una nueva innovación para las pruebas de seguridad de aplicaciones móviles en la cadena de herramientas de desarrollo, NowSecure AUTO. NowSecure AUTO se conecta a la plataforma CI para probar automáticamente la seguridad de las aplicaciones móviles en cada compilación todos los días, incluso varias veces al día.

La herramienta de prueba completa las pruebas en menos de 15 minutos, envía automáticamente los tickets a los desarrolladores y proporciona precisión, repetibilidad y profundidad de prueba impulsadas por la máquina para eliminar el riesgo. Por menos del costo de una pizza y 12 paquetes de cerveza todos los días, una organización puede automatizar por completo las pruebas de seguridad de aplicaciones móviles para cada compilación (una o más por día) para obtener la mejor economía y el menor riesgo.

Resumen

Los riesgos de seguridad de las aplicaciones móviles son reales, pero la economía también lo es, exacerbada por la complejidad de probar aplicaciones móviles en dispositivos móviles. Con la llegada de DevSecOps, el perfil de riesgo y costo para el desarrollo de aplicaciones móviles ha cambiado, y las herramientas automatizadas como NowSecure AUTO se han intensificado para llenar los vacíos.

Hay una enorme ventaja financiera y de mitigación de riesgos en el uso de tecnología moderna y mejores prácticas. En pocas palabras, por menos de la mitad del costo de una sola prueba de penetración subcontratada anual, una organización puede implementar NowSecure para pruebas de seguridad de aplicaciones móviles automatizadas en la cadena de herramientas de desarrollo con el menor costo y riesgo. La elección económica es una obviedad.

Programe una demostración para ver cómo NowSecure AUTO puede brindar pruebas asequibles de seguridad de aplicaciones móviles a sus equipos de seguridad y DevOps.

Deja un comentario