El auge del low-code está empezando a poner en entredicho los riesgos que puede entrañar para la seguridad TI. Sin embargo, existen una serie de pautas a seguir que permitirán que su desarrollo no cuestione la protección que ofrece a los entornos TI.
Las aplicaciones low-code cada vez proliferan más y ya son muchas las organizaciones que apuestan por este modelo de desarrollo. Sin embargo, teniendo en cuenta que, en esencia, su funcionamiento consiste en manejar componentes prediseñados para un desarrollo rápido, fácil, incluso para lo que no requiere de conocimientos técnicos, y menos propenso a errores, algunos han empezado a cuestionar si pueden suponer un riesgo para la seguridad TI.
Según Gartner, el mercado de desarrollo de low-code, o código bajo alcanzará los 13.800 millones de dólares a nivel mundial en 2021, lo que supone un aumento del 22,6% respecto a 2020. Y las perspectivas de cara a los próximos años aún son más halagüeñas ante la necesidad de las empresas de optimizar costes.
Sin duda, son muchos los beneficios que las organizaciones ya han empezado a percibir del low-code. Además, de democratizar el desarrollo y acelerar los plazos de entrega, también está ayudando a reducir la brecha entre la oferta y la demanda surgida ante la urgente necesidad de digitalización de miles de empresas a raíz del impacto de la pandemia.
Las plataformas low-code dan respuesta a las necesidades de escalabilidad y seguridad
Muchas plataformas de low-code facilitan la creación de aplicaciones al tiempo que reducen drásticamente el tiempo de entrega en comparación con los métodos de codificación tradicionales.
Pero también cabe destacar que, hoy en día, las plataformas de low-code también vienen con capacidades diseñadas específicamente para desarrolladores profesionales, con lo que dan respuesta a las necesidades de escalabilidad y seguridad de aplicaciones complejas. Asimismo, cuentan con capacidades de integración lo suficientemente maduras como para adaptarse perfectamente a las herramientas y tecnologías existentes.
En comparación con el desarrollo tradicional, el low-code implica que una variedad de personas trabajan juntas para crear aplicaciones con código generado automáticamente, componentes preparados para utilizar y configuraciones predeterminadas. Esto ha puesto en evidencia la necesidad de abordar una serie de desafíos de seguridad.
En primer lugar, la falta de conciencia de seguridad. Algunos profesionales no están familiarizados con las mejores prácticas de seguridad de las aplicaciones y carecen de conciencia y comprensión de las posibles vulnerabilidades y agujeros de seguridad.
En segundo lugar, es necesario reforzar los controles de gestión y acceso a la plataforma. El low-code se implementa de forma centralizada y está disponible para los usuarios de una empresa a través del navegador. Esto conlleva un importante riesgo de intrusión en la red, y se da acceso a desarrolladores no autorizados y permisos a usuarios que no lo necesitan.
Y, en tercer lugar, las plataformas de low-code deben garantizar que el código generado automáticamente se puede enviar a repositorios autorizados por la empresa. Este acceso al código debe tener suficientes protocolos para el control y sus actualizaciones.
Es importante desarrollar una serie de mejores prácticas de generación de código
Ante estos retos, es importante desarrollar una serie de mejores prácticas de generación de código, asegurando el código personalizado y cumpliendo con las prácticas de lanzamiento seguro.
Asimismo, es importante que las plataformas low-code generen aplicaciones que protejan contra ataques de phishing, o de denegación de servicio, entre otros. Además, deben proporcionar un mecanismo de control de acceso integral que evite el acceso no autorizado a los datos y la funcionalidad de la aplicación.
A medida que las empresas y los ISV recurren al código bajo, la rapidez y seguridad de las aplicaciones será un aspecto cada vez más importante que deberán afrontar.
Configurar la plataforma de low-code centro de una DMZ, o zona desmilitarizada que no comprometa la seguridad, aplicar las mejores prácticas en programación, ofrecer protección total contra las 10 principales vulnerabilidades para aplicaciones web y móviles, con certificaciones de terceros, y admitir varios proveedores de autenticación, serán algunas claves a tener muy en cuenta.
Imagen inicial | FLY:D