El software está más presente en nuestro día a día de lo que inicialmente se piensa. La mayoría de los negocios, con independencia de su actividad, se sostienen sobre programas y aplicaciones informáticas o bien tienen que guardar información sensible sobre la propia compañía o de los clientes en bases de datos que, en esencia, son un software. Y este debe ser resistente a los ciberataques. Sin embargo, pese a la importancia de la protección, la informática es, en general, la parte más débil en las empresas en cuanto a la toma de medidas para frenar y evitar esa criminalidad.

Una situación que es acrecentada por el hecho de que los programadores que desarrollan el software en la empresa se 'desentienden' del código que escriben, lo que conlleva que esta responsabilidad recaiga sobre el equipo de ciberseguridad.

“Es un problema que están viviendo todas las grandes compañías. Tienen un equipo sólido de desarrolladores, que producen una enorme cantidad de aplicaciones esenciales para su negocio, pero sin formación en seguridad informática. Son los analistas de seguridad quienes deben probar que sean aplicaciones resistentes a ciberataques antes de sacarlas al mercado. El problema es que la ratio es de 1,4 analistas de seguridad por cada 100 programadores, lo que provoca un cuello de botella”, que tiene como principal consecuencia “el lanzamiento de muchas aplicaciones vulnerables”. De hecho, el 50% de las vulnerabilidades de software son fallos en el diseño, según explica Cristina Bentúe, cofundadora y COO de Continuum Security, especializada en el desarrollo de herramientas de seguridad informática propias para ayudar a las empresas a realizar software de forma segura y a prueba de ataques cibernéticos.

Y el resultado de esta actividad de Continuum Security es el desarrollo de un producto innovador en ciberseguridad. Se trata de Irius Risk, que es una única consola integrada para crear modelos de amenazas y administrar los riesgos de seguridad de las aplicaciones durante el proceso de desarrollo de software –incluyendo desde los estadios más tempranos-, y automatizando parte del trabajo que tiene que realizar el analista de seguridad.

Irius Risk permite analizar “cualquier arquitectura técnica y automáticamente genera un modelo de riesgos de seguridad o 'threat model', que lista las amenazas a las que es susceptible una aplicación informática”. Un proceso que difiere del que se emplea en la actualidad, ya que estos modelos de riesgos se realizan de forma manual por equipos de seguridad y consultorías externas.

Además, de detectar estas vulnerabilidades, propone de forma automática “las contramedidas para mitigarlas con ejemplos específicos de código seguro y los controles recomendados para paliar las debilidades identificadas en el software”.

Irius Risk también es una plataforma de seguimiento de los riesgos, de manera que permite “actualizar el estado de los controles aplicados de una manera automática y en tiempo real”. En la actualidad, los analistas de seguridad de las empresas “están registrando su trabajo en documentos de Word o Excel, pero son “herramientas insuficientes y nada específicas para el sector y la sensibilidad de los datos que se están manejando”.

Continuum Security también ha desarrollado Irius Risk Community Edition, que es una versión gratuita para la comunidad y que está destinada a todos los expertos en ciberseguridad del mundo a quienes les facilita a su vez un espacio para compartir conocimientos y actualizarlos.

Para ofrecer todas estas prestaciones, Irius Risk se basa en el framework o entorno de desarrollo de aplicaciones Grails, que utiliza Groovy como lenguaje de programación y que se ejecuta sobre la máquina virtual de Java. Además, en el interfaz de usuario, se ha empleado el entorno de desarrollo Vaadin, que permite “desarrollar la aplicación como si todo el conjunto se ejecutara en el lado del servidor, como un servicio. Y este transforma los componentes visuales a componentes HTML5, CSS3 y Javascript”. La metodología de desarrollo empleada es Test Driven Development (desarrollo guiado por pruebas de software). Esta práctica de ingeniería de software permite minimizar el número de errores que llegan a producción.

Continuum Security, con sede en el Parque Tecnológico Walqa (Huesca), también ha desarrollado BBD-Security, otro producto novedoso, que consiste en un marco de pruebas de seguridad, que se ha instalado en entidades internacionales como 'The New York Times' o bancos globales como Standard Bank. Este producto –de código abierto, libre y gratuito-, emplea un lenguaje natural en términos de 'Dado que', 'Cuando' o 'entonces' para describir los requerimientos de seguridad en formato de especificaciones.