accesskey_mod_content

Recomendacións de seguridade no desenvolvemento de aplicacións

  • Escoitar
  • Copiar
  • Imprimir PDF
  • Compartir

"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".

27 febreiro 2023

O CCN-CERT publicou un novo abstract sobre as leccións aprendidas e as recomendacións para o desenvolvemento seguro de aplicacións que cobre todo o seu ciclo de vida

O Centro Criptolóxico Nacional(Abre en nova xanela)  CCN) publicou o novo abstract “Lecciones aprendidas e recomendacións de seguridade no desenvolvemento de aplicacións”(Abre en nova xanela)  para aplicar ciberseguridade en todo o ciclo de vida das mesmas.

A ciberseguridade consiste na protección de sistemas, redes e datos contra o acceso non autorizado, o uso indebido e/ou disrupción de servizos e outros tipos de ameazas. O seu obxectivo é non só aplicar diferentes sistemas de seguridade co fin de previr e contrarrestar este ataques, senón tamén educar e capacitar aos usuarios sobre como evitar riscos innecesarios.

Co fin de detectar, eliminar e/ou mitigar as debilidades dunha aplicación pódense realizar diversas análises de seguridade en diferentes fases do ciclo de vida do desenvolvemento de software: análise estática do código fonte, análise dos compoñentes e librarías e análise dinámica da aplicación nunha contorna pre-produtivo.

O presente documento está organizado en diversos capítulos nos que se tratan as vulnerabilidades e ameazas, o desenvolvemento seguro de aplicacións, así como os principais retos e oportunidades nesta materia.

Leccións aprendidas e recomendacións de seguridade no desenvolvemento de aplicacións

Os estándares de seguridade do software seguro son guías desenvolvidas por gobernos, institucións ou organizacións que permiten medir e avaliar o grao de cumprimento dun sistema respecto os requisitos da propia guía co fin de garantir a seguridade do software nun contexto determinado. Algúns estándares de seguridade témolos en ENS, PCI-DSS ou NIST.

Os modelos de madurez de desenvolvemento do software seguro proporcionan un marco de organizado de requisitos de seguridade cuxo nivel de cumprimento permite avaliar a posición de madurez da implementación da seguridade en: unha aplicación, un proxecto ou unha organización. Os modelos de madurez máis utilizados son: OWASP SAMM, ISO 33000. As organizacións que aplican metodoloxías de desenvolvemento seguro ven reducidos de maneira significativa os seus custos de xestión da configuración e de resposta a incidentes nun 75%.

Desde este punto de vista, se a incorporación da seguridade só se realiza nas fases avanzadas do ciclo de vida do desenvolvemento das aplicacións, segue existindo un elevado risco, un maior custo de remediación e unha diminución da produtividade, é dicir, a medida que avanzamos no ciclo de vida do desenvolvemento, a introdución de controis de seguridade e remediación de erros vólvense cada vez máis custosos [3] [4] [5]. Isto supón unha dedicación de esforzos cada vez maiores por parte do equipo de desenvolvemento, o que degrada a súa produtividade e implica a asunción de riscos maiores por parte da dirección do proxecto. Actualmente existe un sólido respaldo en canto a entidades e organizacións responsables do desenvolvemento dos estándares e boas prácticas de seguridade, como poden ser OWASP, NIST, MITRE, ISO, etc

As consecuencias que comporta non aplicar suficientes controis de seguridade nas aplicacións

As consecuencias que comporta non aplicar suficientes controis de seguridade nas aplicacións son graves, múltiples e de distinta natureza, e case sempre implican perdas económicas e/ou danos que afectan moi negativamente á imaxe da organización. Algunhas das máis comúns son:

  • Pérdida ou roubo de información sensible ou persoal, como números de cartóns de crédito, contrasinais, información de identificación persoal, etc. que comportan xuízos e multas en danos e reparacións, así como unha importante perda de imaxe comercial.
  • Interrupción dos servizos mediante ataques DDoS causando perda de ingresos, clientes insatisfeitos e danos na reputación.
  • Violación de cumprimento normativo que é causa de sancións e multas.
  • Dificultade para obter seguros de responsabilidade civil ao considerarse que a ausencia de medidas de seguridade adecuadas aumenta o risco de incidentes.
  • Perda de competitividade no mercado. Os clientes e provedores buscan traballar con organizacións que dispoñan dunha boa postura de seguridade.
  • Dano nos sistemas e servizos que requirisen altos custos en reparacións e recuperacións da integridade.
  • Risco de extorsión. Pode requirir altos pagos de rescate para recuperar os datos ou para evitar a divulgación de información sensible.

Fonte orixinal da noticia(Abre en nova xanela)

  • Seguridade e Protección de Datos