3 errores costosos en la seguridad de aplicaciones y API y cómo evitarlos

Octubre es el Mes Europeo de la Ciberseguridad, un recordatorio de que proteger tu organización no solo consiste en contar con las herramientas adecuadas, sino también en invertir de forma inteligente y estratégica en ellas. A medida que las amenazas evolucionan y los presupuestos se reducen, es más importante que nunca que los responsables de seguridad comprendan dónde se destinan sus recursos y si sus soluciones realmente aportan valor.

Se prevé que el gasto en ciberseguridad experimente un crecimiento considerable durante la próxima década. Según Gartner, se estima que el mercado mundial de la seguridad de la información y la gestión de riesgos alcanzará los 267 300 millones USD en 2026. Sin embargo, al mismo tiempo, la actual incertidumbre económica y mundial está empujando a los directivos empresariales a ser más selectivos y centrarse en la reducción de costes y la optimización de sus inversiones en ciberseguridad.

Esta realidad coloca a los responsables de seguridad en una situación delicada: deben garantizar que cualquier solución de seguridad, nueva o ya existente, funcione de forma eficaz dentro de unos presupuestos muy precisos. Sin embargo, sin una comprensión adecuada del funcionamiento de una solución de seguridad, es fácil acabar invirtiendo más tiempo, dinero, recursos y personal de lo inicialmente previsto. 

No prever con precisión estos costes con antelación puede provocar disputas presupuestarias en momentos críticos o incluso afectar a la asignación presupuestaria del año siguiente.

¿Cómo pueden los responsables de seguridad proteger los costes de seguridad y evitar problemas financieros? Una forma de hacerlo es comprender los errores habituales a la hora de seleccionar proveedores que provocan un gasto excesivo imprevisto. Veamos tres de estos errores y qué pueden hacer los equipos para evitarlos. 

Error n.º 1: prolongar los plazos de evaluación y despliegue

A la hora de adoptar o cambiar de proveedor de seguridad, las empresas se enfrentan a un reto fundamental que pone en riesgo su negocio: el largo y pesado proceso de evaluar e implementar software, especialmente soluciones como los cortafuegos de aplicaciones web (WAF), que manejan datos confidenciales y afectan a la experiencia del cliente. Los costes de oportunidad que supone prolongar las pruebas, el despliegue o incluso la adquisición pueden acumularse fácilmente.

Extender esta evaluación a una larga prueba de concepto (POC) solo agrava el problema. En muchos casos, los WAF que se basan en la inteligencia artificial o el aprendizaje automático añaden más retrasos, ya que sus periodos de aprendizaje requieren tiempo para observar y comprender los patrones de tráfico antes de poder tomar medidas eficaces. Dependiendo de la configuración, cualquier retraso en esta fase también puede exponer a las aplicaciones a posibles ataques o vulnerabilidades debido a una cobertura de seguridad inadecuada.

Incluso después de superar satisfactoriamente la fase de prueba de concepto, la adquisición y el despliegue pueden presentar nuevos obstáculos. Las complicadas estructuras de precios y los procesos de adquisición pueden ralentizar o incluso detener la adopción en momentos críticos si ambas partes tienen dificultades para coordinar sus objetivos. Además, las implementaciones extensas, incluso para ajustar el «modo de monitorización» del WAF, pueden suponer una pérdida de tiempo y recursos humanos.

Recomendación: Agilizar la evaluación y el despliegue del WAF 

Las organizaciones deben priorizar los procesos de evaluación y despliegue que estén guiados por objetivos y criterios de éxito claramente definidos.

Para ayudar a agilizar la evaluación, los equipos deben confirmar los tiempos medios de despliegue, los requisitos técnicos y las estimaciones legales y de adquisición en una fase temprana del proceso. También deben ponerse de acuerdo con el proveedor sobre cualquier obstáculo tecnológico u organizativo desde el principio, de modo que ambas partes puedan abordar los posibles impedimentos antes de que provoquen retrasos.

Al revelar estos detalles desde el principio y acordarlos de forma colaborativa, las empresas pueden reducir los ciclos innecesarios, acortar los plazos de despliegue y proteger sus aplicaciones sin costes innecesarios ni sobrecargas de personal.

Error n.º 2: subestimar el coste total de propiedad 

Subestimar el coste total de propiedad (TCO) de un WAF puede tener importantes repercusiones. Más allá del precio del contrato, hay diversos factores que contribuyen al TCO total, como las tarifas, los gastos de personal, el tiempo de interrupción del sitio y los suplementos por uso adicional.

Garantizar la eficacia continua del WAF puede resultar costoso si se utiliza una solución inadecuada. Algunos WAF requieren personal adicional para gestionar las reglas, resolver los falsos positivos y supervisar las alertas. Otros no ofrecen tantas opciones de configuración y dependen en gran medida de servicios profesionales o equipos de asistencia para realizar los cambios necesarios. A medida que las aplicaciones y los servicios siguen diferenciándose a través de experiencias digitales únicas, estos costes imprevistos pueden aumentar considerablemente con solo alcanzar el nivel de protección que necesitas. Las opciones de despliegue poco flexibles también limitan la posibilidad de ahorrar costes, como la informática en el edge y las funciones sin servidor.

Un servicio de atención al cliente deficiente agrava aún más el problema. Los interminables acuerdos de nivel de servicio (SLA) y la lentitud en la respuesta a las solicitudes de asistencia pueden retrasar la mitigación oportuna de los ataques y la aplicación de parches virtuales para las vulnerabilidades, o incluso impedir que un sitio vuelva a estar operativo. Ello no solo socava la seguridad en situaciones de emergencia, sino que también aumenta el coste total de propiedad debido al incremento de las solicitudes de asistencia, las horas extras dedicadas a la respuesta a incidentes, los suplementos por uso adicional y otros factores.

Recomendación: Calcular el TCO con las partes interesadas de diferentes departamentos

No es posible calcular con precisión el coste total de propiedad más allá del precio del contrato. Los responsables de seguridad pueden calcular mejor los costes potenciales de un proveedor de WAF si debaten las implicaciones con equipos multidisciplinares y revisan contenidos propios y de terceros sobre el proveedor. 

Dado que un WAF afecta a muchas áreas del negocio, entrevistar a equipos de diferentes departamentos que se ven muy afectados, como los de fiabilidad del sitio, DevOps, atención al cliente y respuesta a incidentes, puede revelar el impacto de un WAF que no funciona bien. 

Durante la fase de evaluación, los responsables de seguridad deben buscar un proveedor de WAF que cuente con acuerdos de nivel de servicio (SLA) y políticas de suplementos por uso adicional claros para estimar los posibles costes. También pueden consultar sitios de reseñas, como Gartner Peer Insights o aprovechar estudios por encargo, como el Total Economic Impact™ (TEI), para conocer las experiencias reales de usuarios de empresas de diferentes tamaños y sectores.

Es igualmente importante tener en cuenta lo que supone en realidad rentabilizar la inversión. Algunos WAF requieren servicios profesionales para su configuración, ajuste o mantenimiento adecuados, lo que supone unos costes que pueden repetirse con el tiempo y acumularse si la solución no está diseñada para una gestión interna sencilla. Ampliar el alcance de la previsión del coste total de propiedad puede evitar un costoso efecto dominó que afecte a toda la empresa.

Error n.º 3: dificultar el desarrollo ágil y los procesos DevOps

El desarrollo ágil impulsa a las organizaciones a innovar y mantener su ventaja competitiva. Sin embargo, cualquier proceso que ralentice el ciclo de vida del desarrollo de software (SDLC) puede provocar una pérdida de horas de desarrollo y una posible caída de las ventas. Cuando no se alcanzan los objetivos de ingresos, los presupuestos de seguridad suelen ser objeto de un mayor escrutinio, lo que significa que los retrasos en el SDLC no solo perjudican al negocio, sino que también pueden reducir los recursos disponibles para los propios equipos de seguridad.

Por desgracia, la seguridad suele llevar el estigma de ser el «departamento del no», y los WAF heredados pueden obstaculizar el progreso sin quererlo. Actualizar las reglas del WAF se convierte en una tarea delicada y que requiere mucho tiempo, ya que se corre el riesgo de que las aplicaciones dejen de funcionar, lo que aumenta el tiempo de desarrollo y los costes laborales. Además, los falsos positivos frecuentes pueden llevar a un ajuste excesivo de las reglas del WAF, lo que bloquea a los usuarios reales y reduce los beneficios potenciales.

El auge de DevOps ha revolucionado los equipos de desarrollo al agilizar y mejorar la eficiencia de los flujos de trabajo. Sin embargo, muchos WAF carecen de la automatización, precisión y flexibilidad necesarias para seguir el ritmo. Además de ralentizar los ciclos de desarrollo, esta carencia aumenta los costes laborales, ya que los equipos pierden tiempo solucionando problemas o reescribiendo reglas. La tecnología SmartParse de Fastly elimina esa fricción al permitir a los equipos implementar protecciones WAF bajo demanda sin preocuparse de que las reglas dañen la aplicación. Al eliminar el proceso de prueba y error que suele acompañar a los despliegues de WAF, SmartParse permite a los desarrolladores mantener la velocidad, reducir los costes y ofrecer nuevas funciones sin generar cuellos de botella en la seguridad.

Recomendación: Eligir un WAF que adopte el desarrollo ágil

La velocidad de los negocios exige que los desarrolladores adopten la filosofía de «Always Be Shipping» y la seguridad debe evolucionar para seguir el ritmo. Si prevenir incidentes de seguridad no es suficiente para proteger el presupuesto, los responsables pueden demostrar que la adopción de un WAF moderno hace posible un desarrollo de productos más rápido y seguro.

A la hora de evaluar un WAF, las organizaciones deben dar prioridad a las soluciones que permiten a la empresa seguir funcionando, como la integración con herramientas y prácticas DevOps, las actualizaciones automáticas de reglas y la compatibilidad con diversas opciones de despliegue y arquitecturas, con el fin de mejorar los flujos de trabajo y reducir las ineficiencias. Elegir o seguir utilizando un WAF heredado puede tener un impacto negativo si obstaculiza el desarrollo de funciones o la innovación.

Optimiza tu inversión en WAF: cómo evitar los errores más comunes

Al repasar estos errores, queda claro lo fácil que sería para los equipos de seguridad gastar e invertir mucho más en un WAF de lo que se había planeado o era necesario inicialmente. Esto puede dar lugar a conversaciones difíciles durante la planificación del presupuesto, cuando se pide a los responsables que hagan más con menos. Estos posibles escollos no siempre son evidentes y pueden dar lugar a ineficiencias operativas, a un deterioro de la reputación del departamento o incluso a un entorno de producción menos seguro.

Los responsables de seguridad deben sentirse capacitados para tomar decisiones económicas acertadas sin comprometer el rendimiento de la seguridad. La elección de un WAF moderno y de última generación no solo evita que se supere el presupuesto, sino que también garantiza una asignación más eficiente de los recursos en toda la empresa, lo que permite a los empleados de toda la organización innovar y trabajar con mayor confianza.

El Mes Europeo de la Ciberseguridad es el momento perfecto para reevaluar tu estrategia actual de WAF y explorar soluciones diseñadas específicamente para ofrecer seguridad y eficiencia. Al evitar estos errores habituales, tu equipo podrá adelantarse a las amenazas y alcanzar sus objetivos, no solo este mes, sino durante todo el año. Ponte en contacto con Fastly hoy mismo para descubrir cómo podemos ayudarte a optimizar tu estrategia de WAF y aprovechar todo el potencial de tu organización.