Logo Gobierno de España Gobierno de España logo Gobierno de España logo
Escoltar
Logo Portal d'Administració electrònica PAE logo PAE logo
Logo impressió Portal d'Administració electrònica
Texto requerit per a la cerca (*) Accés directe al cercador

User

Busqueda

Texto requerit per a la cerca (*) Accés directe al cercador

Menú

accesskey_mod_content

Recomanacions de seguretat en el desenvolupament d'aplicacions

  • Escoltar
  • Copiar
  • Imprimir PDF
  • Compartir

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".

27 febrer 2023

El CCN-CERT ha publicat un nou abstract sobre les lliçons apreses i les recomanacions per al desenvolupament segur/segur d'aplicacions que cobreix tot el seu cicle de vida

El Centre Criptològic Nacional(Obre en nova finestra)  CCN) ha publicat el nou abstract “Lecciones apreses i recomanacions de seguretat en el desenvolupament d'aplicacions”(Obre en nova finestra)  per aplicar ciberseguretat en tot el cicle de vida de les mateixes.

La ciberseguretat consisteix en la protecció de sistemes, xarxes i dades contra l'accés no autoritzat, l'ús indegut i/o disrupció de serveis i altres tipus d'amenaces. El seu objectiu és no solament aplicar diferents sistemes de seguretat a fi de prevenir i contrarestar aquests atacs, sinó també educar i capacitar als usuaris sobre com evitar riscos innecessaris.

Amb la finalitat de detectar, eliminar i/o mitigar les febleses d'una aplicació es poden realitzar diverses anàlisis de seguretat en diferents fases del cicle de vida del desenvolupament de programari: anàlisi estàtica del codi font, anàlisi dels components i llibreries i anàlisi dinàmica de l'aplicació en un entorn pre-productiu.

El present document està organitzat en diversos capítols en els quals es tracten les vulnerabilitats i amenaces, el desenvolupament segur/segur d'aplicacions, així com els principals reptes i oportunitats en aquesta matèria.

Lliçons apreses i recomanacions de seguretat en el desenvolupament d'aplicacions

Els estàndards de seguretat del programari segur són guies desenvolupades per governs, institucions o organitzacions que permeten mesurar i avaluar el grau de compliment d'un sistema respecte els requisits de la pròpia guia amb la finalitat de garantir la seguretat del programari en un context determinat. Alguns estàndards de seguretat els tenim en ENS, PCI-DSS o NIST.

Els models de maduresa de desenvolupament del programari segur proporcionen un marc d'organitzat de requisits de seguretat el nivell de la qual de compliment permet avaluar la posició de maduresa de la implementació de la seguretat en: una aplicació, un projecte o una organització. Els models de maduresa més utilitzats són: OWASP SAMM, ISO 33000. Les organitzacions que apliquen metodologies de desenvolupament segur veuen reduïts de manera significativa els seus costos de gestió de la configuració i de resposta a incidents en un 75%.

Des d'aquest punt de vista, si la incorporació de la seguretat només es realitza en les fases avançades del cicle de vida del desenvolupament de les aplicacions, segueix existint un elevat risc, un major cost de remediación i una disminució de la productivitat, és a dir, a mesura que avancem en el cicle de vida del desenvolupament, la introducció de controls de seguretat i remediación d'errors es tornen cada vegada més costosos [3] [4] [5]. Això suposa una dedicació d'esforços cada vegada majors per part de l'equip de desenvolupament, la qual cosa degrada la seva productivitat i implica l'assumpció de riscos majors per part de l'adreça del projecte. Actualment existeix un sòlid respatller quant a entitats i organitzacions responsables del desenvolupament dels estàndards i bones pràctiques de seguretat, com poden ser OWASP, NIST, MITRE, ISO, etc

Les conseqüències que comporta no aplicar suficients controls de seguretat en les aplicacions

Les conseqüències que comporta no aplicar suficients controls de seguretat en les aplicacions són greus, múltiples i de diferent naturalesa, i gairebé sempre impliquen pèrdues econòmiques i/o danys que afecten molt negativament a la imatge de l'organització. Algunes de les més comunes són:

  • Pérdida o robatori d'informació sensible o personal, com a nombres de targetes de crèdit, contrasenyes, informació d'identificació personal, etc. que comporten judicis i multes en danys i reparacions, així com una important pèrdua d'imatge comercial.
  • Interrupció dels serveis mitjançant atacs DDoS causant pèrdua d'ingressos, clients insatisfets i danys en la reputació.
  • Violació de compliment normatiu que és causa de sancions i multes.
  • Dificultat per obtenir assegurances de responsabilitat civil en considerar-se que l'absència de mesures de seguretat adequades augmenta el risc d'incidents.
  • Pèrdua de competitivitat al mercat. Els clients i proveïdors cerquen treballar amb organitzacions que disposin d'una bona postura de seguretat.
  • Dany en els sistemes i serveis que requerissin alts costos en reparacions i recuperacions de la integritat.
  • Risc d'extorsió. Pot requerir alts pagaments de rescat per recuperar les dades o per evitar la divulgació d'informació sensible.

Font original de la notícia(Obre en nova finestra)

  • Seguretat i Protecció de Dades
Coneix carpeta Ciutadana
Actualitat CTT
Hemeroteca
 
Coneix carpeta Ciutadana