A principios de esta semana pasé un día con uno de los clientes de nuestros socios tecnológicos en la Laboratorios EPI-USE en Sídney. Parte de la jornada incluyó una presentación de David Powell, Director General de Estrategia de Seguridad Informática del National Australia Bank (NAB), sobre la importancia de la seguridad informática tanto a nivel individual como corporativo.

La presentación fue, como mínimo, fascinante y reveladora.

Por ejemplo, David nos dijo que, a pesar de sus esfuerzos por educar a los clientes, 4.000 clientes de NAB revelan sus credenciales financieras a través de correos electrónicos de phishing cada mes. Alrededor de 1 de cada 3.500 correos electrónicos son portadores de malware, por lo que la incidencia de malware que roba información personal justo delante de nosotros es inevitable de vez en cuando.

De hecho, David mencionó que el malware se está volviendo tan sofisticado que la seguridad informática de los bancos ha tenido que volverse igual de sofisticada. Se ha desarrollado un programa informático que detecta la diferencia entre un movimiento de ratón humano real y uno producido por software. De este modo, el cliente puede identificar el programa malicioso antes de que él mismo se dé cuenta.

Otro riesgo para la seguridad es que te lleven a la "supuesta" web de tu banco. David mencionó que el NAB identifica y cierra más de 100 sitios falsos cada mes. De hecho, esta misma mañana he recibido un mensaje en el que se me pedía que entrara en la página de mi banco para "actualizar mis datos" a través de una URL sospechosa.

En el lado corporativo, y aquí es donde las cosas empiezan a ponerse peliagudas. En sólo 12 meses, los ciberataques a la infraestructura informática de NAB han pasado de 7 a 12 millones al mes. Alrededor de 1.500 de ellos pasan a la siguiente capa. David se apresuró a señalar que los que lo consiguen son identificados y tratados muy rápidamente.

Y la cosa no queda ahí, con millones de máquinas conectadas que entran en línea con el IoT, cada día se multiplican las nuevas fuentes y puntos de entrada para los ciberataques. David citó un reciente ataque DNS procedente de un aparato de aire acondicionado en Bulgaria.

La presentación de David puso el broche de oro a la jornada.

Pero, ¿qué tiene esto que ver con el control de cambios de SAP?

Bastantes, en realidad. Por ejemplo, ¿la comprobación de la vulnerabilidad del código forma parte de su proceso de control de cambios?

Ya sea de forma manual o automatizada, la comprobación de la vulnerabilidad del código puede aplicarse como parte de su proceso de control de cambios de SAP. Proporciona una mayor garantía de que la infraestructura de su propia organización tiene menos probabilidades de ser presa de artimañas externas.

Mediante una integración entre software de escaneado de códigos, como Virtual Forge CodeProfiler y la plataforma de automatización del control de cambios de Rev-Trac, el nuevo código ABAP se puede comprobar y aprobar automáticamente como "seguro" para su aprobación antes de que el nuevo código se apruebe para pasar a QAS o PRD. Este paso puede aplicarse a determinados tipos de desarrollo para garantizar a los equipos que se han realizado dichas comprobaciones para todo el código nuevo.

Así que dos cosas. En primer lugar, considere la necesidad de comprobar la vulnerabilidad del código como parte de su proceso de desarrollo. En segundo lugar, automatice y aplique las comprobaciones mediante una combinación de software de comprobación de código y software de automatización del control de cambios Rev-Trac.

¿Forma parte de su proceso de control de cambios la comprobación periódica de la vulnerabilidad del código? ¿Es un tema de debate? Me encantaría conocer tu opinión.