"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seua publicació. No es garantix que continuen actius actualment".
El Centre Criptològic Nacional CCN) ha publicat el nou abstract “Lecciones apreses i recomanacions de seguretat en el desenvolupament d'aplicacions” per a aplicar ciberseguretat en tot el cicle de vida de les mateixes.
La ciberseguretat consistix en la protecció de sistemes, xarxes i dades contra l'accés no autoritzat, l'ús indegut i/o disrupció de servicis i altres tipus d'amenaces. El seu objectiu és no solament aplicar diferents sistemes de seguretat a fi de previndre i contrarestar aquests atacs, sinó també educar i capacitar als usuaris sobre com evitar riscos innecessaris.
Amb la finalitat de detectar, eliminar i/o mitigar les debilitats d'una aplicació es poden realitzar diverses anàlisis de seguretat en diferents fases del cicle de vida del desenvolupament de programari: anàlisi estàtica del codi font, anàlisi dels components i llibreries i anàlisi dinàmica de l'aplicació en un entorn pre-productiu.
El present document està organitzat en diversos capítols en els quals es tracten les vulnerabilitats i amenaces, el desenvolupament segur d'aplicacions, així com els principals reptes i oportunitats en esta matèria.
Lliçons apreses i recomanacions de seguretat en el desenvolupament d'aplicacions
Els estàndards de seguretat del programari segur són guies desenvolupades per governs, institucions o organitzacions que permeten mesurar i avaluar el grau de compliment d'un sistema respecte els requisits de la pròpia guia amb la finalitat de garantir la seguretat del programari en un context determinat. Alguns estàndards de seguretat els tenim en ENS, PCI-DSS o NIST.
Els models de maduresa de desenvolupament del programari segur proporcionen un marc d'organitzat de requisits de seguretat el nivell de la qual de compliment permet avaluar la posició de maduresa de la implementació de la seguretat en: una aplicació, un projecte o una organització. Els models de maduresa més utilitzats són: OWASP SAMM, ISO 33000. Les organitzacions que apliquen metodologies de desenvolupament segur veuen reduïts de manera significativa els seus costos de gestió de la configuració i de resposta a incidents en un 75%.
Des d'este punt de vista, si la incorporació de la seguretat només es realitza en les fases avançades del cicle de vida del desenvolupament de les aplicacions, seguix existint un elevat risc, un major cost de remediación i una disminució de la productivitat, és a dir, a mesura que avancem en el cicle de vida del desenvolupament, la introducció de controls de seguretat i remediación d'errors es tornen cada vegada més costosos [3] [4] [5]. Açò suposa una dedicació d'esforços cada vegada majors per part de l'equip de desenvolupament, la qual cosa degrada la seua productivitat i implica l'assumpció de riscos majors per part de la direcció del projecte. Actualment existix un sòlid respatler quant a entitats i organitzacions responsables del desenvolupament dels estàndards i bones pràctiques de seguretat, com poden ser OWASP, NIST, MITRE, ISO, etc
Les conseqüències que comporta no aplicar suficients controls de seguretat en les aplicacions
Les conseqüències que comporta no aplicar suficients controls de seguretat en les aplicacions són greus, múltiples i de diferent naturalesa, i quasi sempre impliquen pèrdues econòmiques i/o danys que afecten molt negativament a la imatge de l'organització. Algunes de les més comunes són:
- Pérdida o robatori d'informació sensible o personal, com a nombres de targetes de crèdit, contrasenyes, informació d'identificació personal, etc. que comporten juís i multes en danys i reparacions, així com una important pèrdua d'imatge comercial.
- Interrupció dels servicis mitjançant atacs DDoS causant pèrdua d'ingressos, clients insatisfets i danys en la reputació.
- Violació de compliment normatiu que és causa de sancions i multes.
- Dificultat per a obtindre assegurances de responsabilitat civil en considerar-se que l'absència de mesures de seguretat adequades augmenta el risc d'incidents.
- Pèrdua de competitivitat en el mercat. Els clients i proveïdors busquen treballar amb organitzacions que disposen d'una bona postura de seguretat.
- Dany en els sistemes i servicis que requeriren alts costos en reparacions i recuperacions de la integritat.
- Risc d'extorsió. Pot requerir alts pagaments de rescat per a recuperar les dades o per a evitar la divulgació d'informació sensible.
Font original de la notícia
- Seguretat i Protecció de Dades