22 dic 2009

Seguridad en aplicaciones web y gobiernos

El pasado 10 y 11 de Diciembre se celebró el evento IBWAS'09 (Iberic Web Application Security), en el que el tema principal era la seguridad en aplicaciones web. Esta iniciativa fué organizada por los capítulos tanto de España como de Portugal de OWASP, reuniendo a un gran número de protagonistas.  De toda la agenda, lo más esperado era el último de los paneles, que consistía en una mesa-coloquio cuya temática giraba en torno a lo que deberían hacer los gobiernos en el 2010 en lo que concierne a la seguridad en aplicaciones web.

Es algo de lo que hablamos mucho por aquí: falta concienciación en general sobre este tema, y lo peor es que cada vez se confía más en dichas aplicaciones web para realizar muchas tareas importantes de nuestra vida que nos hacen ahorrar colas...pero...¿es preferible pedir una mañana libre y despertarse a las 6AM para coger número o ver como una inyección SQL en un parámetro consigue obtener todos los datos que guardas en una carpeta en el fondo de tu armario?

En ocasiones todo queda en multas, a salir en los medios (pero en la sección de tecnología ¿eh? que hay cosas más importantes por las que preocuparnos, como por ejemplo las narices de la gente...), a ser protagonista en posts de blogs con diferentes capturas de pantalla, tapando con spray negro del paint ciertas columnas de un dump de base de datos, pero a la semana siguiente...

Volviendo a la cuestión que se planteaba en el último panel de IBWAS antes de la clausura, se ha distribuido un comunicado de prensa por parte de la organización resumiendo las conclusiones a las que se llegaron y qué ofrece todo lo que rodea la iniciativa OWASP. No hay que invertir grandes sumas de dinero, tampoco hay que cuadrar mucho presupuesto en esas pestañas del Excel de las compañías que se destinan a tareas de formación: "simplemente", es bajarse un pdf/doc y visitar una wiki...He exagerado, pero ya me entendéis.

A continuación dejo dichas conclusiones:

1. OWASP incita a los gobiernos a trabajar conjuntamente para aumentar la transparencia de la seguridad de aplicaciones web, especialmente con respecto a los sistemas de salud, financieros y todos aquellos en los que la privacidad y confidencialidad de los datos sean fundamentales.

2. OWASP buscará la participación con los gobiernos de todo el mundo para desarrollar recomendaciones en la incorporación de requisitos especificos de seguridad de aplicaciones y el desarrollo de marcos adecuados de certificación en los procesos de adquisición de software en programas gubernamentales;

3. OWASP ofrece su ayuda para aclarar y modernizar las leyes de seguridad informática, permitiendo a los Gobiernos, los ciudadanos y organizaciones a tomar decisiones informadas acerca de la seguridad.

4. OWASP pide a los gobiernos alentar a las empresas para que adopten normas de seguridad de aplicaciones que, de ser implementadas, ayudarán a proteger a todos nosotros de las fallas de seguridad, las cuales podrían exponer información confidencial, permitirían operaciones fraudulentas e incluso incurrirían en responsabilidad jurídica.

5. OWASP se ofrece a trabajar con los gobiernos locales y nacionales para establecer tableros de comando de seguridad de aplicaciones que proporcionen una visibilidad en el gasto y apoyo a la seguridad de aplicaciones.

Fuente: Security by Default

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!