En los últimos años, las tecnologías low-code y no-code se han vuelto cada vez más populares, respaldadas por la predicción de Gartner de que el 65 % del desarrollo de aplicaciones para 2024 estará impulsado por estas herramientas revolucionarias. Proporcionan un conjunto simplificado de componentes básicos, lo que facilita la creación de soluciones de TI personalizadas para diversas industrias. Sin embargo, al igual que con cualquier nueva tecnología, existen riesgos potenciales y, comprensiblemente, los usuarios pueden tener preocupaciones sobre la seguridad de la plataforma low-code y no-code.
Comprender los diferentes tipos de plataformas
Antes de evaluar los riesgos de seguridad, es esencial identificar la funcionalidad deseada de una plataforma low-code o no-code. Por lo general, estas plataformas ofrecen una gama de componentes, como cuadros de texto, selectores de fecha/hora e entradas de números, que se pueden organizar para crear una solución personalizada. Los datos ingresados a través de estos componentes permanecen en la plataforma, lo que hace que el análisis de seguridad sea más sencillo. En muchos sentidos, estos componentes son similares a los que se encuentran en las plataformas SaaS convencionales.
Las plataformas con estos componentes contenidos pueden clasificarse como 'contenidas'. El verdadero diferenciador de esta nueva generación de herramientas es la nube, que ha hecho que las API (interfaces de programación de aplicaciones) sean cada vez más comunes. Como estas plataformas facilitan la extracción, la transformación y la integración de datos en varios sistemas, lleva el desarrollo low-code y no-code a nuevas alturas.
Imagine un escenario en el que su equipo interactúa con un cliente potencial en un evento. Después de obtener cierta información del cliente potencial e ingresarla en la aplicación low-code o no-code, la aplicación crea una oportunidad de Salesforce en su flujo de trabajo de ventas, asigna un administrador de cuenta y actualiza su herramienta de marketing por correo electrónico. Todo este proceso se puede lograr en poco tiempo utilizando estas herramientas de desarrollo, lo que permite flujos de trabajo fluidos que benefician a su negocio.
Sin embargo, las plataformas conectadas se comunican directamente con otros servicios para la entrada y salida de datos, o ambos, lo que destaca los riesgos potenciales asociados con los sistemas conectados.
Riesgos Conectados
Las plataformas conectadas low-code y no-code implican una pérdida de visibilidad en el almacenamiento y procesamiento de datos. Cuando utiliza una plataforma conectada para recopilar datos de un servicio como Marketo y enviarlos a otro servicio externo, los riesgos involucrados pueden ser difíciles de determinar. Para complicar aún más las cosas, las conexiones a servicios de terceros a menudo se establecen con las credenciales de un individuo, en lugar de una cuenta de servicio dedicada. Como resultado, el acceso a los datos podría registrarse bajo la persona que configuró la conexión, en lugar del usuario real.
Esta falta de granularidad plantea importantes desafíos de seguridad porque los equipos pierden información sobre quién accede a los datos. Además, la seguridad ha luchado durante mucho tiempo para mantener la visibilidad en el entorno de TI de una empresa. La adopción rápida de plataformas low-code y no-code puede exacerbar estas brechas de visibilidad a menos que la industria madure para satisfacer los requisitos empresariales.
Adaptación a la seguridad Low-Code y No-Code
A pesar de las preocupaciones de seguridad, las plataformas low-code y no-code ofrecen una ventaja comercial significativa y permiten que los equipos resuelvan problemas de manera más eficiente. Para adoptar estas soluciones de manera segura, los usuarios deben comenzar con una evaluación de riesgos para determinar si la plataforma está "conectada". Si está conectado, verifique las credenciales empleadas para vincular servicios de terceros y use cuentas de servicio siempre que sea posible.
A continuación, investigue las capacidades de registro de la plataforma y asegúrese de que estén habilitadas tanto para la plataforma como para sus conexiones. Mantener la visibilidad de estas actividades es crucial para abordar cualquier problema de exposición o violación de datos con prontitud.
Una vez que se abordan los aspectos básicos, los usuarios pueden concentrarse en problemas de seguridad más avanzados. Por ejemplo, organizaciones como OWASP ya han comenzado a explorar las diez principales amenazas específicas del desarrollo low-code y no-code. Esta investigación puede ayudar a guiar los esfuerzos de los usuarios y las mejores prácticas de seguridad en el futuro.
La predicción de Gartner no sugiere que los métodos de desarrollo tradicionales serán obsoletos. En cambio, las plataformas low-code y no-code eliminan las barreras y permiten que una gama más amplia de usuarios resuelva sus desafíos. Entre estos, AppMaster se ha convertido en una notable plataforma no-code, que proporciona herramientas poderosas para el desarrollo de aplicaciones backend, web y móviles. Si se abordan de manera inteligente, las plataformas low-code y no-code ofrecen la oportunidad de introducir conceptos de seguridad modernos a una nueva generación de usuarios, fomentando soluciones resistentes y seguras desde el principio.
