Logo Gobierno de España Gobierno de España logo Gobierno de España logo
Escoltar
Logo Portal d'Administració electrònica PAE logo PAE logo
Logo impressió Portal d'Administració electrònica
Text requerit per a la cerca (*) Accés directe al buscador

User

Busqueda

Text requerit per a la cerca (*) Accés directe al buscador

Menú

accesskey_mod_content

Recomanacions de seguretat en el desenvolupament d'aplicacions

  • Escoltar
  • Copiar
  • Imprimir PDF
  • Compartir

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seua publicació. No es garantix que continuen actius actualment".

27 febrer 2023

El CCN-CERT ha publicat un nou abstract sobre les lliçons apreses i les recomanacions per al desenvolupament segur d'aplicacions que cobrix tot el seu cicle de vida

El Centre Criptològic Nacional(Obri en nova finestra)  CCN) ha publicat el nou abstract “Lliçons apreses i recomanacions de seguretat en el desenvolupament d'aplicacions”(Obri en nova finestra)  per a aplicar ciberseguretat en tot el cicle de vida de les mateixes.

La ciberseguretat consistix en la protecció de sistemes, xarxes i dades contra l'accés no autoritzat, l'ús indegut i/o disrupció de servicis i altres tipus d'amenaces. El seu objectiu és no solament aplicar diferents sistemes de seguretat a fi de previndre i contrarestar aquests atacs, sinó també educar i capacitar als usuaris sobre com evitar riscos innecessaris.

Amb la finalitat de detectar, eliminar i/o mitigar les debilitats d'una aplicació es poden realitzar diverses anàlisis de seguretat en diferents fases del cicle de vida del desenvolupament de programari: anàlisi estàtica del codi font, anàlisi dels components i llibreries i anàlisi dinàmica de l'aplicació en un entorn pre-productiu.

El present document està organitzat en diversos capítols en els quals es tracten les vulnerabilitats i amenaces, el desenvolupament segur d'aplicacions, així com els principals reptes i oportunitats en esta matèria.

Lliçons apreses i recomanacions de seguretat en el desenvolupament d'aplicacions

Els estàndards de seguretat del programari segur són guies desenvolupades per governs, institucions o organitzacions que permeten mesurar i avaluar el grau de compliment d'un sistema respecte els requisits de la pròpia guia amb la finalitat de garantir la seguretat del programari en un context determinat. Alguns estàndards de seguretat els tenim en ENS, PCI-DSS o NIST.

Els models de maduresa de desenvolupament del programari segur proporcionen un marc d'organitzat de requisits de seguretat el nivell de la qual de compliment permet avaluar la posició de maduresa de la implementació de la seguretat en: una aplicació, un projecte o una organització. Els models de maduresa més utilitzats són: OWASP SAMM, ISO 33000. Les organitzacions que apliquen metodologies de desenvolupament segur veuen reduïts de manera significativa els seus costos de gestió de la configuració i de resposta a incidents en un 75%.

Des d'este punt de vista, si la incorporació de la seguretat només es realitza en les fases avançades del cicle de vida del desenvolupament de les aplicacions, seguix existint un elevat risc, un major cost de remediación i una disminució de la productivitat, és a dir, a mesura que avancem en el cicle de vida del desenvolupament, la introducció de controls de seguretat i remediación d'errors es tornen cada vegada més costosos [3] [4] [5]. Açò suposa una dedicació d'esforços cada vegada majors per part de l'equip de desenvolupament, la qual cosa degrada la seua productivitat i implica l'assumpció de riscos majors per part de la direcció del projecte. Actualment existix un sòlid respatler quant a entitats i organitzacions responsables del desenvolupament dels estàndards i bones pràctiques de seguretat, com poden ser OWASP, NIST, MITRE, ISO, etc

Les conseqüències que comporta no aplicar suficients controls de seguretat en les aplicacions

Les conseqüències que comporta no aplicar suficients controls de seguretat en les aplicacions són greus, múltiples i de diferent naturalesa, i quasi sempre impliquen pèrdues econòmiques i/o danys que afecten molt negativament a la imatge de l'organització. Algunes de les més comunes són:

  • Pèrdua o robatori d'informació sensible o personal, com a nombres de targetes de crèdit, contrasenyes, informació d'identificació personal, etc. que comporten juís i multes en danys i reparacions, així com una important pèrdua d'imatge comercial.
  • Interrupció dels servicis mitjançant atacs DDoS causant pèrdua d'ingressos, clients insatisfets i danys en la reputació.
  • Violació de compliment normatiu que és causa de sancions i multes.
  • Dificultat per a obtindre assegurances de responsabilitat civil en considerar-se que l'absència de mesures de seguretat adequades augmenta el risc d'incidents.
  • Pèrdua de competitivitat en el mercat. Els clients i proveïdors busquen treballar amb organitzacions que disposen d'una bona postura de seguretat.
  • Dany en els sistemes i servicis que requeriren alts costos en reparacions i recuperacions de la integritat.
  • Risc d'extorsió. Pot requerir alts pagaments de rescat per a recuperar les dades o per a evitar la divulgació d'informació sensible.

Font original de la notícia(Obri en nova finestra)

  • Seguretat
Coneix carpeta Ciutadana
Actualitat CTT
Hemeroteca
 
Coneix carpeta Ciutadana