Logo Gobierno de España Gobierno de España logo Gobierno de España logo
Escoltar
Logo Portal d'Administració electrònica PAE logo PAE logo
Logo impressió Portal d'Administració electrònica
Texto requerit per a la cerca (*) Accés directe al cercador

User

Busqueda

Texto requerit per a la cerca (*) Accés directe al cercador

Menú

accesskey_mod_content

Recomanacions de seguretat en el desenvolupament d'aplicacions

  • Escoltar
  • Copiar
  • Imprimir PDF
  • Compartir

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".

27 febrer 2023

El CCN-CERT ha publicat un nou abstract sobre les lliçons apreses i les recomanacions per al desenvolupament segur/segur d'aplicacions que cobreix tot el seu cicle de vida

El Centre Criptològic Nacional(Obre en nova finestra)  CCN) ha publicat el nou abstract “Lecciones apreses i recomanacions de seguretat en el desenvolupament d'aplicacions”(Obre en nova finestra)  per aplicar ciberseguretat en tot el cicle de vida de les mateixes.

La ciberseguretat consisteix en la protecció de sistemes, xarxes i dades contra l'accés no autoritzat, l'ús indegut i/o disrupció de serveis i altres tipus d'amenaces. El seu objectiu és no solament aplicar diferents sistemes de seguretat a fi de prevenir i contrarestar aquests atacs, sinó també educar i capacitar als usuaris sobre com evitar riscos innecessaris.

Con el fin de detectar, eliminar y/o mitigar las debilidades de una aplicación se pueden realizar diversos análisis de seguridad en diferentes fases del ciclo de vida del desarrollo de software: análisis estático del código fuente, análisis de los componentes y librerías y análisis dinámico de la aplicación en un entorno pre-productivo.

El presente documento está organizado en diversos capítulos en los que se tratan las vulnerabilidades y amenazas, el desarrollo seguro de aplicaciones, así como los principales retos y oportunidades en esta materia.

Lliçons apreses i recomanacions de seguretat en el desenvolupament d'aplicacions

Els estàndards de seguretat del programari segur són guies desenvolupades per governs, institucions o organitzacions que permeten mesurar i avaluar el grau de compliment d'un sistema respecte els requisits de la pròpia guia amb la finalitat de garantir la seguretat del programari en un context determinat. Alguns estàndards de seguretat els tenim en ENS, PCI-DSS o NIST.

Los modelos de madurez de desarrollo del software seguro proporcionan un marco de organizado de requisitos de seguridad cuyo nivel de cumplimiento permite evaluar la posición de madurez de la implementación de la seguridad en: una aplicación, un proyecto o una organización. Los modelos de madurez más utilizados son: OWASP SAMM, ISO 33000. Las organizaciones que aplican metodologías de desarrollo seguro ven reducidos de manera significativa sus costes de gestión de la configuración y de respuesta a incidentes en un 75%.

Des d'aquest punt de vista, si la incorporació de la seguretat només es realitza en les fases avançades del cicle de vida del desenvolupament de les aplicacions, segueix existint un elevat risc, un major cost de remediación i una disminució de la productivitat, és a dir, a mesura que avancem en el cicle de vida del desenvolupament, la introducció de controls de seguretat i remediación d'errors es tornen cada vegada més costosos [3] [4] [5]. Això suposa una dedicació d'esforços cada vegada majors per part de l'equip de desenvolupament, la qual cosa degrada la seva productivitat i implica l'assumpció de riscos majors per part de l'adreça del projecte. Actualment existeix un sòlid respatller quant a entitats i organitzacions responsables del desenvolupament dels estàndards i bones pràctiques de seguretat, com poden ser OWASP, NIST, MITRE, ISO, etc

Les conseqüències que comporta no aplicar suficients controls de seguretat en les aplicacions

Les conseqüències que comporta no aplicar suficients controls de seguretat en les aplicacions són greus, múltiples i de diferent naturalesa, i gairebé sempre impliquen pèrdues econòmiques i/o danys que afecten molt negativament a la imatge de l'organització. Algunes de les més comunes són:

  • Pérdida o robatori d'informació sensible o personal, com a nombres de targetes de crèdit, contrasenyes, informació d'identificació personal, etc. que comporten judicis i multes en danys i reparacions, així com una important pèrdua d'imatge comercial.
  • Interrupció dels serveis mitjançant atacs DDoS causant pèrdua d'ingressos, clients insatisfets i danys en la reputació.
  • Violació de compliment normatiu que és causa de sancions i multes.
  • Dificultat per obtenir assegurances de responsabilitat civil en considerar-se que l'absència de mesures de seguretat adequades augmenta el risc d'incidents.
  • Pérdida de competitividad en el mercado. Los clientes y proveedores buscan trabajar con organizaciones que dispongan de una buena postura de seguridad.
  • Dany en els sistemes i serveis que requerissin alts costos en reparacions i recuperacions de la integritat.
  • Risc d'extorsió. Pot requerir alts pagaments de rescat per recuperar les dades o per evitar la divulgació d'informació sensible.

Font original de la notícia(Obre en nova finestra)

  • Seguretat i Protecció de Dades
Coneix carpeta Ciutadana
Actualitat CTT
Hemeroteca
 
Coneix carpeta Ciutadana