6 nov. 2015

9 prácticas de programación segura que no puedes ignorar (I)

¡Desarrollar código seguro ya no es una opción!

Según el último informe de investigación de violación de datos de Verizon, el crimen motivado financieramente es el primer tipo de ataque web y las organizaciones se encuentran en problemas cada vez que sufren una violación. Para asegurar que nuestras organizaciones y clientes se encuentren seguros, los desarrolladores de software deben ser capaces de escribir código seguro utilizando técnicas adecuadas y con un compromiso y consistencia apropiado para toda la organización.

Todos los días vemos código donde las cuestiones de seguridad de la aplicación se prueban a última hora o no se prueban en absoluto. Si usted tiene interés en que sus aplicaciones sean seguras, así como de todo el software de su compañía y el desarrollo de las operaciones; desde el equipo de desarrollo y seguridad hasta los CISOs y CSOs deben conocer como escribir código seguro.

TODOS los actores relacionados con la aplicación tienen que hacer su parte para asegurar buenas prácticas de codificación y que las mismas deben ser seguidas. Para ayudar, hemos recogido estas buenas prácticas, con ejemplos concretos de cada una, que son esenciales para las organizaciones, y poniendo el ojo en la seguridad de las aplicaciones. El 75% de las vulnerabilidades se encuentran en la capa de aplicación y allí deben concentrarse las organizaciones en mejorar.

Con la aplicación de un conjunto de estándares y buenas prácticas de programación segura, su organización podrá comprender mucho más fácil los riesgos más comunes del código y las mejores formas de corregir y prevenir problemas similares en el futuro.

1. Seguridad por diseño

La peor clase de la vulnerabilidades actuales en las aplicaciones ocurren cuando agentes maliciosos explotan bugs que permiten robar, modificar o eliminar datos. Estos ataques utilizan vulnerabilidades como SQL Injection y Cross-site Scripting, que, aunque bastante fácil de solucionar, de alguna manera todavía causan estragos en nuestro software.

La seguridad por diseño en las aplicaciones es la práctica número una en esta lista porque es un requisito previo para los principios de seguridad a seguir. La solución ahorrará tiempo y daños mayores más adelante: las aplicaciones se deben diseñar con seguridad en la mente.

En la práctica:
  • Durante la etapa de diseño, asegúrese de que se apliquen políticas de seguridad dentro de la arquitectura de software.
  • Implementa y garantizar el análisis de código a lo largo de todo el SDLC, para que las vulnerabilidades se detecten y pueden solucionarse tan pronto como hayan sido escritas.
  • Las buenas prácticas de SANS ofrece una gran lista de comprobación de seguridad para el diseño de aplicaciones Web.
Información relacionada: Game of Hacks: promoción de prácticas de codificación segura

2. Modelado de amenazas

Determinar las mayores amenazas y los riesgos asociados a las aplicaciones es una parte fundamental al escribir código seguro. Lo más probable es que no seamos capaces de solucionar todos los problemas inmediatamente, todo el tiempo, pero se pueden identificar los activos más valiosos y las vulnerabilidades más graves y eso le dirá que necesita hacer y conseguir con mayor rapidez.

En la práctica:
  • Realizar análisis de código fuente de las aplicaciones en su etapa de diseño, así como en las aplicaciones o software con código heredado para encontrar todas las vulnerabilidades, antes de determinar su nivel de riesgo.
  • Utilice una herramienta de modelado de amenazas para automatizar el proceso de evaluación y análisis de riesgo y así ahorrar tiempo trabajos de remediación.
Información relacionada: el código fuente comprendido como un barómetro de riesgo y la Guía de modelado de amenazas de Microsoft

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!