La Dirección Nacional de Ciberseguridad de la Secretaría de Innovación Pública publicó la “Guía introductoria a la seguridad para el desarrollo de aplicaciones web”. La guía complementa la Decisión Administrativa 641/2021, que estableció los requisitos mínimos de seguridad de la información para el Sector Publico Nacional y está dirigida a quienes llevan adelante funciones de desarrollo de software, así como a responsables de áreas de Sistemas, Tecnología y Seguridad de la Información de este Sector.
La guía aborda todo el ciclo de vida de desarrollo seguro y lo divide en siete etapas, y brinda recomendaciones para cada una de ellas:
1. Inicio del proyecto: una recomendación destacable de la guía es tener como premisa que la aplicación desarrollada recibirá ataques periódicamente y que algunos de ellos funcionarán. Así, recomienda que el equipo de seguridad participe desde esta etapa.
2. Análisis de los requerimientos: la guía recomienda identificar aquellos elementos que se deban priorizar por su valor para la organización. Además, establece recomendaciones respecto de los requerimientos de seguridad, requerimientos de privacidad y los requerimientos arbitrarios y sobre la necesidad de establecer prioridades entre ellos.
3. Diseño del sistema: la guía sugiere aplicar los siguientes principios de diseño seguro:
• minimización de la superficie de ataque;
• diseño para ser mantenido;
• identificación del eslabón más débil;
• seguridad por defecto;
• mantenimiento de la usabilidad;
• autorización para todo por defecto;
• mínimo privilegio;
• separación de responsabilidades y roles;
• defensa en profundidad;
• insuficiencia de los controles en el cliente;
• ayuda a los administradores;
• diseños sin secretos;
• modelado de amenazas.
4. Implementación: en esta etapa, es necesario establecer un criterio de rango de erros y fallos, considerando su prioridad y la severidad del defecto que generan. Además, recomienda usar herramientas de control como Git, Subversion, Mercurial y CVS.
5. Prueba: la guía recomienda comenzar las pruebas de seguridad en paralelo con la etapa de desarrollo, y priorizar aquellos componentes que sean los más críticos de la aplicación. Asimismo, recomienda realizar pruebas de penetración, de auditorías manuales de códigos y trae prevenciones para el caso en que las pruebas sean tercerizadas.
6. Puesta en producción: entre las recomendaciones para el despliegue de la aplicación se destacan la segregación de ambientes y el hardenizado de equipos.
7. Mantenimiento: la guía recomienda mantener los niveles de seguridad durante el funcionamiento de la aplicación y sugiere implementar un protocolo de back-up, monitorear periódicamente la seguridad y alertas, ofrecer un canal para el reporte de fallos, errores y vulnerabilidades y considerar la privacidad de los datos almacenadas al momento de descartar la aplicación.
La guía incluye dos Anexos para conocer los tipos de ataques más prevalentes y prevenirlos y aumentar los niveles de seguridad. El primer Anexo contiene una Introducción a OWASP Top Ten, un documento de concientización para desarrolladores y seguridad de aplicaciones web; el segundo, una Introducción a BSIMM (Building Security In Maturity Model), un modelo de madurez que sirve para orientar a una organización que desarrolla software con respecto a las acciones que puede encarar con el fin de hacerlo más seguro.
Por Gustavo P. Giay, Diego Fernández, Josefina Barbero y Sebastian Filipich
Artículos
GUYER & REGULES
opinión
ver todosKabas & Martorell
PASBBA
NORDELTA S.A.