Uma análise recente feita pelo Gartner, publicada em dezembro último, avaliou a solução de scanners de aplicação desenvolvidos por 15 fornecedores – Acunetix, Cenzic, Codenomicon, HP, IBM, Mavituna Security, Mu Dynamics, nCircle, NT OBJECTives, Parasoft, PortSwigger, Qualys, Quotium Technologies, Veracode e WhiteHat Security – e mostrou os pontos fortes e fracos de cada um deles.

Os scanners de aplicação são ferramentas desenvolvidas para detectar vulnerabilidades em aplicações em execução, como SQL Injection, Cross-site scripting, entre outras. Saiba mais sobre scanners de aplicação…

Os critérios de avaliação utilizados no estudo foram:

• Conhecimento de mercado. Capacidade de o fornecedor entender as necessidades dos compradores e traduzi-las em produtos e serviços.
• Resposta ao mercado. Capacidade de resposta, flexibilidade e vantagem competitiva, acompanhando a evolução das necessidades dos clientes e as mudanças dinâmicas do mercado.
• Sistemática de vendas e precificação. Habilidade nas atividades pré-venda. Inclui gerenciamento de negócios, modelo de preços, negociação, suporte pré-vendas, eficácia global e receptividade do consumidor às vendas e canais parceiros.
• Estratégia de produto. Abordagem adotada pelo fornecedor no desenvolvimento e na distribuição do produto. O equilíbrio entre o foco nas análises de segurança e a satisfação das necessidades das empresas.
• Produto/serviço. Qualidade do produto e serviço prestado. Inclui a atual capacidade do produto/serviço, qualidade e funcionalidades. Foi dada alta pontuação para aqueles que apostaram em amplitude de usuários, como especialistas em testes e em segurança da informação, e fizeram uso de recursos combinados com outras tecnologias.
• Inovação. Desenvolvimento de uma solução que atenda as necessidades dos clientes de forma única e diferenciada.
• Experiência do consumidor. Facilidade de implantação, operação, administração e estabilidade do produto/serviço. Capacidade de oferecer suporte técnico bem como personalização do produto/serviço, a fim de desenvolver características específicas solicitadas pelo cliente.
• Estratégia de marketing. Presença de um claro e diferenciado conjunto de mensagens constantemente comunicado através da organização. Foi dada alta pontuação para aqueles que definiram, com clareza, seu alvo nos mercados de segurança, especialmente segurança de aplicações.
• Viabilidade geral (unidades de negócio, finanças, estratégia e organização). Avaliação da saúde financeira geral da organização. Inclui valor da receita, expertise, número de clientes, número de produtos instalados/utilizados e probabilidade de a empresa continuar investindo em scanners de aplicação e ampliando o mercado de aplicativos de segurança.

O Gartner avaliou fornecedores que participam significativamente do mercado, pelos critérios de presença de mercado e inovação tecnológica.

As principais observações do estudo foram:

• Os principais fornecedores oferecem somente a modalidade “testing as a service” e não oferecem suas ferramentas para venda.
• Cada vez mais, as organizações afirmam preferir usar um produto + um serviço do fornecedor do scanner. Testar as aplicações mais sensíveis usando um scanner internamente e testar as aplicações menos sensíveis usando testing as a service, por exemplo, testar as aplicações já implantadas usando testing as a service e escanear internamente as aplicações em desenvolvimento.
• Futuro: o estudo prevê que até 2016, 40% das empresas utilizarão uma consultoria independente para validar a segurança de serviços de Cloud.