Seguridad por diseño: una nueva aproximación para proteger aplicaciones digitales

La tecnología ha transformado todo, desde cómo llevamos adelante nuestros negocios hasta cómo vivimos nuestras vidas. Pero con esa conveniencia surgen nuevas amenazas. Los grandes ataques de seguridad en empresas como Target, Facebook y Equifax son recordatorios de que nadie está a salvo. Como líderes tecnológicos, tenemos la responsabilidad de crear una cultura en la que asegurar aplicaciones y ecosistemas digitales sea responsabilidad de todos.

Índice de Contenido
  1. Un nuevo enfoque: seguridad por diseño
    1. Conoce tus requisitos
    2. Construye un entorno seguro para cumplir con tus requisitos documentados
    3. Cumple mediante políticas, automatización y plantillas
    4. Realiza actividades de validación regularmente
  2. ¿Cuál es el retorno de inversión de SbD?
  3. Mantente consciente de las principales amenazas
  4. Las mejores prácticas a nivel de cuenta
  5. No olvides los requisitos de cumplimiento y regulación

Un nuevo enfoque: seguridad por diseño

Un enfoque para escribir, construir e implementar aplicaciones seguras se conoce como seguridad por diseño, o SbD por sus siglas en inglés. Tomando la nube por asalto después de la publicación de un White Paper de Amazon en 2015, SbD sigue siendo el marco recomendado por Amazon hoy en día para abordar sistemáticamente la seguridad desde el inicio. SbD es un enfoque de aseguramiento de seguridad que formaliza el diseño de seguridad, automatiza los controles de seguridad y agiliza la auditoría. El marco descompone la tarea de asegurar una aplicación en cuatro pasos.

Conoce tus requisitos

Define tus políticas y documenta los controles. Decide qué reglas de seguridad quieres cumplir. Conoce qué controles de seguridad heredas de los proveedores de servicios externos en tu ecosistema y cuáles tienes bajo tu propio control.

Construye un entorno seguro para cumplir con tus requisitos documentados

A medida que comienzas a definir la infraestructura que respaldará tu aplicación, haz referencia a tus requisitos de seguridad como variables de configuración y anótalas en cada componente.

Por ejemplo, si tu aplicación requiere encriptación de datos en reposo, marca cualquier almacenamiento de datos con una etiqueta "encrypted = true". Si se requiere registrar todas las actividades de autenticación, etiqueta tus componentes de autenticación con "log = true". Estas etiquetas mantendrán la seguridad en primer plano y luego te informarán sobre qué cosas puedes estandarizar.

Cumple mediante políticas, automatización y plantillas

Una vez que sabes cuáles son tus controles de seguridad y dónde deben aplicarse, no querrás dejar nada al error humano. Ahí es donde entran en juego tus plantillas. Al automatizar la infraestructura como código, puedes estar tranquilo sabiendo que el propio sistema evita que alguien cree un entorno que no cumpla con las reglas de seguridad que has definido. No importa cuán trivial pueda parecer la configuración, no quieres que los administradores configuren las máquinas manualmente, ya sea en la nube o en sitio. Escribir scripts para realizar estos cambios vale la pena en mil ocasiones.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Realiza actividades de validación regularmente

El último paso en el marco de seguridad por diseño es definir, programar y llevar a cabo validaciones regulares de tus controles de seguridad. Esto también puede automatizarse en la mayoría de los casos, no solo periódicamente, sino de forma continua. Lo importante es tener un sistema que siempre cumpla con las normas y, como resultado, esté siempre listo para ser auditado.

¿Cuál es el retorno de inversión de SbD?

Cuando se ejecuta correctamente, el enfoque de SbD proporciona una serie de beneficios tangibles.

  • Funciones de forzamiento que no pueden ser anuladas por usuarios no autorizados
  • Operación confiable de los controles
  • Auditoría continua y en tiempo real
  • Escritura técnica de tu política de gobernanza

Además, ya sea en las instalaciones o en la nube, asegúrate de que tus políticas de seguridad aborden los siguientes aspectos:

  • Seguridad de red
  • Control de inventario y configuración
  • Encriptación de datos
  • Control de acceso
  • Monitoreo y registro

Mantente consciente de las principales amenazas

Cuando se trata del desarrollo real de la aplicación, debes tener en cuenta el OWASP Top 10. Este es un documento de conciencia estándar para desarrolladores y seguridad de aplicaciones web. Representa un consenso amplio sobre los riesgos de seguridad más críticos para las aplicaciones web. Evoluciona con el tiempo, pero a continuación hemos compilado la lista 2022 de las principales amenazas.

  1. Fallos de control de acceso
  2. Fallos criptográficos
  3. Inyección
  4. Diseño inseguro
  5. Configuración incorrecta de seguridad
  6. Componentes vulnerables y desactualizados
  7. Fallos de identificación y autenticación
  8. Fallos de integridad de software y datos
  9. Fallos de registro y monitoreo de seguridad
  10. Falsificación de solicitudes del lado del servidor

Si bien es importante que tus desarrolladores comprendan estas amenazas (paso uno del proceso SbD) para que puedan identificar los controles adecuados e implementarlos en consecuencia (pasos dos y tres), también es importante que las actividades de validación (paso cuatro) se apliquen durante y después del proceso de desarrollo. Hay una serie de herramientas comerciales y de código abierto que pueden ayudar con esta validación.

El proyecto OWASP mantiene una lista actualizada de estas herramientas e incluso mantiene directamente algunos de estos proyectos de código abierto. Estas herramientas están mayormente dirigidas a una tecnología en particular y a los ataques únicos en ella.

Cómo proteger tu computadora de los virus: métodos y consejos

Las mejores prácticas a nivel de cuenta

Ninguna organización puede ser verdaderamente segura sin mitigar el mayor riesgo para la seguridad: los usuarios. Aquí es donde entran en juego las mejores prácticas a nivel de cuenta. Al imponer las mejores prácticas de cuenta, las organizaciones pueden asegurarse de que sus usuarios no comprometan inadvertidamente la seguridad general del sistema. Asegúrate de que, como organización, estás siguiendo las mejores prácticas de seguridad en torno a la gestión de cuentas:

  • Impone contraseñas seguras en todos los recursos
  • Usa alias de correo electrónico grupal a nivel de cuenta
  • Habilita la autenticación multifactorial
  • Nunca uses la cuenta de "root" para el acceso diario
  • Elimina las claves de acceso a nivel de cuenta
  • Habilita el registro

No olvides los requisitos de cumplimiento y regulación

En algunos sectores o geografías, deberás cumplir con controles de seguridad adicionales. Algunos comunes incluyen PCI para pagos y HIPAA para registros médicos. Es crucial que hagas tu tarea y, si te encuentras sujeto a alguno de estos requisitos de seguridad adicionales, vale la pena contactar a un consultor de seguridad especializado en los controles particulares necesarios, ya que las violaciones a menudo conllevan altas multas.

Es importante recordar que, si bien las organizaciones son los objetivos de los ataques cibernéticos, las víctimas son individuos: son tus clientes, tus empleados; son personas reales que han depositado su confianza en ti y en tu tecnología. Es por eso que es fundamental que las organizaciones se esfuercen en asegurar las aplicaciones desde el inicio.

Las medidas de seguridad reactivas no tienen éxito en el entorno digital de ritmo rápido actual. Los CIO astutos están adoptando un enfoque proactivo, llevando las conversaciones de seguridad al inicio, involucrando a todo el negocio e incorporando las mejores prácticas en cada paso del ciclo de vida del desarrollo de software.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Seguridad por diseño: una nueva aproximación para proteger aplicaciones digitales , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.