Piensa, haz y fluye - LIBRO
aplicación segura, desarrollo seguro
Auditoría de código

¿Qué es una aplicación segura?

Una aplicación segura o una aplicación protegida, es la que minimiza los riesgos en su infraestructura e información. Esta garantía de seguridad se consigue a través de su control, al igual que ocurre con el control de calidad. Tradicionalmente se divide la seguridad de una aplicación en tres dimensiones llamada el triangulo CIA, estas son: Confidencialidad (Confidentiality), Integridad (Integrity) y Disponibilidad (Availability).

Verónica Hontecillas Mentor - Coach Experta en inteligencia emocional

Confidencialidad: Solo los usuarios y procesos autorizados pueden acceder a la información que almacena y trata el sistema.

Integridad: Los datos que maneja el sistema no pueden modificarse con fines maliciosos o ilegales, ni por parte de personal o procesos no autorizados.

Disponibilidad: Cada una de las funcionalidades ofrecidas por el servicio de aplicación, debe estar lista para usarse o utilizarse cuando sea necesario, sin que un tercero pueda impedirlo.

«Una vulnerabilidad en una aplicación permitirá a un usuario malintencionado explotar una red o un host»

Carlos Lyons, Corporate Security, Microsoft.

Para esto la aplicación debe permitir acceder a la información y recursos del sistema, únicamente a los usuarios y procesos autorizados. Mediante controles de seguridad, impide que un usuario o proceso que no disponga de autorización para ello, pueda llegar a acceder y usar cada determinada funcionalidad. Es por esto la importancia del control de autenticación de un usuario, y su posterior control de autorización para los diferentes elementos y recursos de la aplicación. Un recurso restringido es cualquier objeto, dato, característica o función de la aplicación a la que solo los usuarios autorizados pueden acceder.

Autenticación y autorización – Desarrollo seguro: La imagen muestra como un usuario se autentica correctamente en la aplicación, después esta controla el acceso autorizado a tres recursos, permitiendo el acceso correcto y autorizado a dos y denegando un tercero.

También se hace necesario la revisión y control de cada una de estas funcionalidades ofrecidas por el servicio de aplicación, para confirmar y controlar que sean seguras en sus capacidades y forma. Para ello se realizan las auditorías de seguridad, entre las que se encuentran las auditorías de código o análisis de código estático (SAST), y las pruebas de seguridad de aplicación dinámicas (DAST).

Si quieres leer acerca de lo que es una auditoría de código (SAST), este articulo esta centrado en su descripción ¿Qué es una auditoría de código?.

Actualmente los sistemas informáticos incrementan el uso de aplicaciones interconectadas, aplicaciones y servicios web que ofrecen funcionalidades de alto valor y deben estar disponibles en tiempo real, etc… Este contexto aumenta la complejidad de las aplicaciones y sus interdependencias, y con ello el alcance y repercusión de un incidente de seguridad. Uno de los procesos más importantes para garantizar la seguridad de una organización es la gestión de desarrollo seguro de software.

«Casi el 75% de todos los ataques a la seguridad de la información se dirigen a la capa de aplicación web»

Gartner Report.

Un ciberataque o ataque informático a nivel del servicio de una aplicación puede resultar en:

Perdidas financierasRobo de información, y posterior venta o divulgación de esta
Afectación de la continuidad de negocioDaño a la reputación de la organización
Cierre de la actividadTransacciones financieras fraudulentas

Es un mito habitual que los controles de seguridad perimetral como un Web Application Firewall (WAF) o un Intrusion Detection System (IDS), pueden proteger por completo el sistema. Este mito esta fuertemente potenciado por el marketing de estos productos por parte de los proveedores, y es agradable de creer por que simplificaría el problema, pero es falso. Este tipo de software ofrece una importante protección, pero no es completa, ni siquiera efectiva para el caso de ataques personalizados a nivel de capa de aplicación. Esto supone un gran riesgo, especialmente si la organización posee aplicaciones propias, que han sido desarrolladas de forma especial para esta, ya sea en proyectos de desarrollo de software conducidos de forma interna o subcontratados.

Si los sistemas de una organización permiten establecer comunicación de red a internet a través de los puertos 80 y 443, los atacantes pueden explotar vulnerabilidades a nivel de capa de aplicación. Y esto es algo necesario para el trafico web legítimo, tanto para ofrecer por parte de la organización sus servicios de aplicación a internet, como para que los usuarios ubicados en el interior de una red puedan consumir servicios de aplicación de fuera de su red. Nunca podrás cerrar la puerta de forma completa, siempre la tendrás que dejar medio abierta.

«Dos tercios de todas las aplicaciones web que se encuentran por internet, son vulnerables.»

Gartner Report.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

error

Enjoy this blog? Please spread the word :)

error: