El Centro Criptológico Nacional (CCN) ha actualizado la guía de seguridad de las TIC 812 con el fin de ayudar a reducir la criticidad de los entornos de producción y de los dispositivos embebidos a través de una metodología que permita evaluar y reforzar la seguridad de los entornos y de las aplicaciones Web asociadas a éstos.
Este documento pretende establecer una política de seguridad en dichos sistemas sobre la base de los requerimientos establecidos en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), y garantizar el cumplimiento de medidas específicas, como son: la Protección de servicios y aplicaciones web, la Protección frente a denegación de servicio y el Desarrollo de aplicaciones.
De este modo, la guía 812 se convierte en el documento de referencia para la identificación y el análisis de los requisitos de seguridad vinculados a las aplicaciones y entornos Web en el ámbito del ENS, con el objetivo de minimizar las posibles amenazas de seguridad a las que éstos se exponen durante las fases de diseño y preproducción. Asimismo, define los requisitos necesarios para la realización de auditorías de entornos Web por terceros y ofrece recomendaciones para la contratación de aplicaciones web a terceros, complementándose con la guía “Secure Software Contract Annex” de OWASP.
En el último apartado, el lector encontrará una lista de comprobación para llevar a cabo una evaluación sistémica de un entorno o aplicación Web antes de su desarrollo y adquisición, un listado de referencias y un glosario con los términos y las abreviaturas empleados en el documento.