Se publicó una nueva guía sobre seguridad y desarrollo de aplicaciones web

La Dirección Nacional de Ciberseguridad de la Secretaría de Innovación Pública publicó la “Guía introductoria a la seguridad para el desarrollo de aplicaciones web”. La guía complementa la Decisión Administrativa 641/2021, que estableció los requisitos mínimos de seguridad de la información para el Sector Publico Nacional y está dirigida a quienes llevan adelante funciones de desarrollo de software, así como a responsables de áreas de Sistemas, Tecnología y Seguridad de la Información de este Sector.

 

La guía aborda todo el ciclo de vida de desarrollo seguro y lo divide en siete etapas, y brinda recomendaciones para cada una de ellas: 

 

1. Inicio del proyecto: una recomendación destacable de la guía es tener como premisa que la aplicación desarrollada recibirá ataques periódicamente y que algunos de ellos funcionarán. Así, recomienda que el equipo de seguridad participe desde esta etapa. 

 

2. Análisis de los requerimientos: la guía recomienda identificar aquellos elementos que se deban priorizar por su valor para la organización. Además, establece recomendaciones respecto de los requerimientos de seguridad, requerimientos de privacidad y los requerimientos arbitrarios y sobre la necesidad de establecer prioridades entre ellos.

 

3. Diseño del sistema: la guía sugiere aplicar los siguientes principios de diseño seguro: 
•    minimización de la superficie de ataque; 
•    diseño para ser mantenido; 
•    identificación del eslabón más débil; 
•    seguridad por defecto; 
•    mantenimiento de la usabilidad; 
•    autorización para todo por defecto; 
•    mínimo privilegio; 
•    separación de responsabilidades y roles; 
•    defensa en profundidad; 
•    insuficiencia de los controles en el cliente; 
•    ayuda a los administradores; 
•    diseños sin secretos; 
•    modelado de amenazas. 

 

4. Implementación: en esta etapa, es necesario establecer un criterio de rango de erros y fallos, considerando su prioridad y la severidad del defecto que generan. Además, recomienda usar herramientas de control como Git, Subversion, Mercurial y CVS.

 

5. Prueba: la guía recomienda comenzar las pruebas de seguridad en paralelo con la etapa de desarrollo, y priorizar aquellos componentes que sean los más críticos de la aplicación. Asimismo, recomienda realizar pruebas de penetración, de auditorías manuales de códigos y trae prevenciones para el caso en que las pruebas sean tercerizadas.

 

6. Puesta en producción: entre las recomendaciones para el despliegue de la aplicación se destacan la segregación de ambientes y el hardenizado de equipos.

 

7. Mantenimiento: la guía recomienda mantener los niveles de seguridad durante el funcionamiento de la aplicación y sugiere implementar un protocolo de back-up, monitorear periódicamente la seguridad y alertas, ofrecer un canal para el reporte de fallos, errores y vulnerabilidades y considerar la privacidad de los datos almacenadas al momento de descartar la aplicación.

 

La guía incluye dos Anexos para conocer los tipos de ataques más prevalentes y prevenirlos y aumentar los niveles de seguridad. El primer Anexo contiene una Introducción a OWASP Top Ten, un documento de concientización para desarrolladores y seguridad de aplicaciones web; el segundo, una Introducción a BSIMM (Building Security In Maturity Model), un modelo de madurez que sirve para orientar a una organización que desarrolla software con respecto a las acciones que puede encarar con el fin de hacerlo más seguro. 

 

Por Gustavo P. Giay, Diego Fernández, Josefina Barbero y Sebastian Filipich

 

 

Marval O'Farrell Mairal
Ver Perfil

Entrevistas

Claves legales para entender los arrendamientos por temporada en Uruguay
Florencia Frugoni
POSADAS
detrás del traje
Milagros Tallarico
De ALFARO ABOGADOS
Nos apoyan