[et_pb_section fb_built=\u00bb1″ _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb][et_pb_row _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb][et_pb_column type=\u00bb4_4″ _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb][et_pb_text _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb]<\/p>\n
Hoy en nuestro blog os ofrecemos un conjunto de nueve buenas pr\u00e1cticas que deber\u00eda implantar en su rutina de funcionamiento para revisar la seguridad del c\u00f3digo de su web y mantenerlo aislado de los ataques de los cibercriminales. Estas propuestas se recomienda las incorporar en el ciclo de vida del desarrollo del software, tambi\u00e9n conocido como Software Development Life Cycle<\/em> (SDLC).<\/p>\n La constante y creciente demanda del mercado de nuevas aplicaciones de todo tipo hace que las empresas que las crean centren su trabajo m\u00e1s en proporcionar una buena experiencia al usuario que en garantizar la seguridad de la aplicaci\u00f3n misma y, por tanto , los aparatos donde esta est\u00e1 instalada. Demasiado a menudo encontramos vulnerabilitatas a los sistemas que ni siquiera han sido detectados por los creadores de las aplicaciones.<\/p>\n Revisar el c\u00f3digo ayuda a identificar las vulnerabilidades y debilidades de la seguridad del sistema. Lo que llamamos \u00abrevisiones seguras\u00bb permiten crear un conjunto de est\u00e1ndares de seguridad vinculadas al c\u00f3digo que garantiza que se han seguido las mejores pr\u00e1cticas y que el desarrollo de la codificaci\u00f3n se ha hecho con todas las garant\u00edas y sin vulnerabilidades. Las revisiones seguras de c\u00f3digo utilizan herramientas automatizadas, listas de comprobaci\u00f3n y otras experiencias de testeo de ella seguridad que permiten identificar las vulnerabilidades de la seguridad.<\/p>\n A continuaci\u00f3n le recomendamos algunos de los procesos m\u00e1s efectivos de revisi\u00f3n segura del c\u00f3digo:<\/p>\n 1. Crear una lista de verificaci\u00f3n completa de revisi\u00f3n segura de los c\u00f3digos<\/strong><\/p>\n Cada soluci\u00f3n de software tiene sus propios requisitos y caracter\u00edsticas de seguridad, por lo que una revisi\u00f3n de c\u00f3digo puede variar de una aplicaci\u00f3n de software a otra. Disponer de una lista segura y completa de revisi\u00f3n de c\u00f3digos le ayuda a garantizar que no se pierdan los art\u00edculos clave y que realice una revisi\u00f3n completa del c\u00f3digo.<\/p>\n Estas son algunas de las preguntas que debe plantear mientras haga una revisi\u00f3n segura del c\u00f3digo:<\/p>\n \u2022 Ha implementado controles de autorizaci\u00f3n adecuados? Estas son s\u00f3lo algunas de las preguntas que puede incluir en la lista segura de verificaci\u00f3n de revisi\u00f3n de c\u00f3digos. Debe tener en cuenta que puede que una lista de comprobaci\u00f3n no sea exhaustiva en muchos casos, pero puede proporcionar una direcci\u00f3n en el revisador de c\u00f3digos y ayudarle a hacer revisiones de c\u00f3digo de seguridad efectivas y entregar c\u00f3digos de gran calidad y seguridad.<\/p>\n 2. Revisi\u00f3n constante<\/strong><\/p>\n Es imprescindible que las empresas realicen revisiones seguras de c\u00f3digo regularmente para asegurarse de que, siempre que se produzca un cambio significativo en el c\u00f3digo, se revise de manera efectiva.<\/p>\n Una revisi\u00f3n segura del c\u00f3digo no necesita que espere que se finalice el proceso de desarrollo. M\u00e1s bien puede realizar una revisi\u00f3n del c\u00f3digo a medida que avanza el desarrollo.<\/p>\n Revisando el c\u00f3digo de manera regular, puede identificar aspilleras o extremos sueltos que podr\u00edan ser explotados por los atacantes y arreglarlos de manera oportuna. Tambi\u00e9n mejora la seguridad general del c\u00f3digo y da lugar a un c\u00f3digo de mayor calidad, haciendo que las futuras implementaciones sean r\u00e1pidas, f\u00e1ciles y asequibles.<\/p>\n [\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb][et_pb_column type=\u00bb4_4″ _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb][et_pb_image src=\u00bbhttps:\/\/www.dartem.cat\/\/wp-content\/uploads\/2021\/02\/laptop-work-1148958_1280-1024×682-1.jpg\u00bb title_text=\u00bblaptop-work-1148958_1280-1024×682″ _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb][et_pb_column type=\u00bb4_4″ _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb][et_pb_text _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb]<\/p>\n 3. Utilice las amenazas modelo<\/strong><\/p>\n Las amenazas modelo permiten a las organizaciones identificar amenazas y desarrollar respuestas eficientes. Tener en marcha un proceso de modelo de amenazas estructurado ayuda a detectar, entender y comunicar amenazas y mitigaciones para proteger los activos de la aplicaci\u00f3n.<\/p>\n El modelo de amenaza se puede producir durante las fases de planificaci\u00f3n, dise\u00f1o, desarrollo y \/ o posterior desarrollo. No s\u00f3lo ayuda a identificar riesgos, sino que ayuda a los equipos a comprender mejor la relaci\u00f3n entre los diversos componentes de la aplicaci\u00f3n.<\/p>\n A medida que el entorno y el dise\u00f1o de la aplicaci\u00f3n cambian a lo largo de la vida del proyecto, es \u00fatil tener conocimiento respecto como se interconectan los componentes con el producto. Esto puede ayudar a comprender mejor las amenazas y riesgos de seguridad.<\/p>\n 4. Utilice las herramientas de automatizaci\u00f3n para ahorrar tiempo (pero no deje que la automatizaci\u00f3n lo haga TODO)<\/strong><\/p>\n Las herramientas de automatizaci\u00f3n pueden tener un papel crucial, sobre todo a la hora de proteger tanto el software como el c\u00f3digo. La automatizaci\u00f3n es siempre m\u00e1s eficaz que el que vosotros os dedic\u00e1is a revisar el c\u00f3digo l\u00ednea por l\u00ednea para detectar defectos.<\/p>\n Con aplicaciones que consisten en cientos de miles, si no millones, de l\u00edneas de c\u00f3digo, es imposible realizar una revisi\u00f3n manual de c\u00f3digo de l\u00ednea completa por l\u00ednea en un tiempo razonable.<\/p>\n Las herramientas de automatizaci\u00f3n permiten procesos racionalizados con una m\u00ednima intervenci\u00f3n humana, permiti\u00e9ndoles centrarse en tareas m\u00e1s complejas que requieren un an\u00e1lisis l\u00f3gico o empresarial. Las herramientas de an\u00e1lisis de c\u00f3digos est\u00e1ticos automatizados ofrecen una cobertura casi completa del c\u00f3digo junto con la posibilidad de revelar vulnerabilidades que de otro modo podr\u00edan ser desapercibidas si se revisan manualmente.<\/p>\n Por ejemplo, si una herramienta de an\u00e1lisis de c\u00f3digo est\u00e1tico descubre una vulnerabilidad de inyecci\u00f3n de SQL o una inyecci\u00f3n XSS, puede exedcutar cercques en otras bases de datos similares, una tarea que requiere tiempo y que es pr\u00e1cticamente imposible de hacer a mano.<\/p>\n Aunque se puede confiar en la automatizaci\u00f3n para muchas cosas, no se le puede dejar todo el trabajo. Sin ofrecer numerosos beneficios, tambi\u00e9n plantea ciertos retos: por ejemplo, la automatizaci\u00f3n no puede encontrar defectos de dise\u00f1o y arquitect\u00f3nicos, entre muchos otros. Dado que las herramientas de automatizaci\u00f3n no tienen una comprensi\u00f3n adecuada de los procesos empresariales, no pueden encontrar defectos en las \u00e1reas l\u00f3gicas tampoco. Adem\u00e1s de eso, la automatizaci\u00f3n tambi\u00e9n crea muchos falsos positivos, que pueden descarrilar todo el proceso de prueba ya que los revisores deben comprobar manualmente estas vulnerabilidades identificadas.<\/p>\n 5. Aprovecha la experiencia de un profesional de seguridad en aplicaciones<\/strong><\/p>\n Si bien las herramientas automatizadas son m\u00e1s eficientes que sus hom\u00f3logos humanos en la realizaci\u00f3n de tareas que requieren un gran tiempo, como la b\u00fasqueda de patrones de c\u00f3digo vulnerables dentro de una base masiva de c\u00f3digos, no son competitivas en otros aspectos.<\/p>\n Por este motivo necesita un profesional de la seguridad en aplicaciones, lo que le permitir\u00e1 unir el proceso de revisi\u00f3n de c\u00f3digo seguro y proporcionarle claridad y contexto. La experiencia y el conocimiento de un analista de seguridad o revisor de c\u00f3digos son indispensables en la revisi\u00f3n segura de c\u00f3digo de una aplicaci\u00f3n web. Por ejemplo, en tareas donde la revisi\u00f3n del c\u00f3digo necesita su capacidad para identificar problemas de l\u00f3gica de aplicaciones.<\/p>\n Por ejemplo, en tareas donde la revisi\u00f3n del c\u00f3digo necesita su capacidad para identificar problemas de l\u00f3gica de aplicaciones.<\/p>\n 6. Validar su entrada y salida<\/strong><\/p>\n Una parte importante de una revisi\u00f3n segura del c\u00f3digo consiste en analizar la superficie de ataque del software. Los atacantes suelen utilizar la entrada y la salida para explotar vulnerabilidades de una aplicaci\u00f3n y obtener acceso a la informaci\u00f3n o realizar otras actividades malintencionadas.<\/p>\n El objetivo principal es identificar y revisar las diversas entradas de todas las fuentes de datos no fiables y validar las salidas tambi\u00e9n. Si valide la entrada, puede asegurarse de que la aplicaci\u00f3n gestiona la entrada no fidedigna de manera adecuada para que no se utilice la entrada potencialmente maliciosa para atacar la aplicaci\u00f3n.<\/p>\n Si se valida la salida, se puede garantizar que la aplicaci\u00f3n no perjudique al usuario final ni otros sistemas que ingieran datos de la aplicaci\u00f3n.<\/p>\n Las entradas pueden provenir de cookies, fuentes de datos, respuestas de servicios, l\u00edneas de comandos, archivos planos, archivos de propiedades, variables de entorno, procesos externos y el navegador. Compruebe la sem\u00e1ntica y la sintaxis v\u00e1lidas de las entradas del sistema de informaci\u00f3n (tales como la longitud de los caracteres, el conjunto, los valores aceptables y el intervalo num\u00e9rico) para asegurarse de que las entradas coinciden con los est\u00e1ndares y contenidos especificados.<\/p>\n La validaci\u00f3n de entrada ayuda a garantizar los accesos precisos y prevenir ataques como la inyecci\u00f3n SQL, scripts de sitios cruzados y una amplia gama de otros ataques de inyecci\u00f3n. Por lo tanto, es cr\u00edtico que las aplicaciones validen los datos de entrada antes de procesarlas.<\/p>\n Adem\u00e1s, al enviar datos de salida al navegador web de un usuario, a una red, en un archivo o en alg\u00fan otro lugar, debe garantizar que los datos que env\u00ede sean seguras.<\/p>\n [\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb][et_pb_column type=\u00bb4_4″ _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb][et_pb_image src=\u00bbhttps:\/\/www.dartem.cat\/\/wp-content\/uploads\/2021\/02\/artificial-intelligence-2167835_1280-1024×684-1.jpg\u00bb title_text=\u00bbartificial-intelligence-2167835_1280-1024×684″ _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb][et_pb_column type=\u00bb4_4″ _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb][et_pb_text _builder_version=\u00bb4.8.1″ _module_preset=\u00bbdefault\u00bb]<\/p>\n 7. Otorgue los privilegios m\u00ednimos<\/strong><\/p>\n Otra de las buenas pr\u00e1cticas de c\u00f3digo seguro incluye la implementaci\u00f3n del modelo de \u00abmenos privilegio\u00bb, que permite a los usuarios autorizados acceder espec\u00edficamente s\u00f3lo a la informaci\u00f3n que necesitan para realizar sus funciones o tareas laborales. Por ejemplo, una cuenta de usuario responsable de mantener los registros de clientes no necesita tener acceso a los registros financieros de otros empleados.<\/p>\n Sorprendentemente, el informe de riesgo global de datos del 2019 revel\u00f3 que m\u00e1s del 22% de las carpetas estaban abiertas a todos los empleados. Estas carpetas pueden contener datos sensibles y un actor privilegiado que puede utilizar estas carpetas para realizar incumplimientos de datos a su organizaci\u00f3n. Por lo tanto, es muy crucial otorgar los privilegios m\u00ednimos a los usuarios.<\/p>\n En algunos casos, si un usuario necesita derechos de administraci\u00f3n o privilegios superiores para acceder a datos concretos, se proporcionar\u00e1n s\u00f3lo el tiempo m\u00ednimo necesario para completar la tarea. El modelo de \u00abmenos privilegio\u00bb reduce significativamente el alcance de los perjuicios que pueden ser causados \u200b\u200bpor el uso no autorizado o no deseado de privilegios de red.<\/p>\n 8. Formar el personal sobre el desarrollo de aplicaciones seguras<\/strong><\/p>\n A medida que se producen m\u00e1s problemas por los ataques de los hackers, los profesionales de la ciberseguridad intentan estar al d\u00eda de las \u00faltimas tecnolog\u00edas y herramientas para garantizar una aplicaci\u00f3n o hacer que un sistema sea seguro. Pero no es s\u00f3lo el equipo de seguridad el encargado de proteger su software.<\/p>\n Debe llevar realizar sesiones de formaci\u00f3n peri\u00f3dicas sobre desarrollo de aplicaciones seguras, para informar sus desarrolladores sobre la codificaci\u00f3n segura y c\u00f3mo pueden utilizarla para mejorar los procesos de desarrollo de software, a la vez que reducen las vulnerabilidades del c\u00f3digo.<\/p>\n El desarrollo seguro de aplicaciones ayudar\u00e1 a identificar y mitigar los riesgos a principios del proceso de desarrollo, lo que reducir\u00e1 a\u00fan m\u00e1s la posibilidad de incumplimientos de datos y ciberataques.<\/p>\n 9. Gestionar las vulnerabilidades<\/strong><\/p>\n Una revisi\u00f3n segura de c\u00f3digo puede revelar una serie de riesgos y vulnerabilidades de seguridad. Es importante identificar, evaluar, mitigar e informar de estas vulnerabilidades de seguridad del sistema y del software que se ejecuta.<\/p>\n El control de las vulnerabilidades es fundamental para que las organizaciones prioricen la protecci\u00f3n hacia las posibles amenazas, y minimicen las posibilidades de recibir un ataque.<\/p>\n Algunas herramientas de exploraci\u00f3n tambi\u00e9n incluyen una correcci\u00f3n de vulnerabilidad, que categoriza y clasifica la vulnerabilidad seg\u00fan el riesgo y la gravedad. Esto se hace a menudo comparando las vulnerabilidades con las pol\u00edticas de seguridad.<\/p>\n Con cada cambio en la aplicaci\u00f3n, existe el riesgo de que se abra un potencial agujero de seguridad en su software que pueda ser explotado por los atacantes. Esto puede afectar a la reputaci\u00f3n y la credibilidad de su mercado.<\/p>\n A modo de conclusi\u00f3n<\/strong><\/p>\n Una revisi\u00f3n segura de c\u00f3digos es un proceso que requiere tiempo. El proceso se puede hacer de manera eficiente utilizando tanto los puntos fuertes de las herramientas automatizadas como la experiencia de los profesionales de la seguridad.<\/span><\/p>\n Una revisi\u00f3n segura del c\u00f3digo revela a menudo muchas visiones del c\u00f3digo. Adem\u00e1s de encontrar nuevos riesgos para la seguridad o aprender nuevas t\u00e9cnicas, tambi\u00e9n puede comprobar c\u00f3mo su <\/span>equipo de desarrollo se acerca a la codificaci\u00f3n<\/span> . Se pueden adoptar mejores pr\u00e1cticas para llevar a cabo una revisi\u00f3n del c\u00f3digo m\u00e1s precisa y eficaz.<\/span><\/p>\n [\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":" Hoy en nuestro blog os ofrecemos un conjunto de nueve buenas pr\u00e1cticas que deber\u00eda implantar en su rutina de funcionamiento para revisar la seguridad del c\u00f3digo de su web y mantenerlo aislado de los ataques de los cibercriminales. Estas propuestas se recomienda las incorporar en el ciclo de vida del desarrollo del software, tambi\u00e9n conocido […]<\/p>\n","protected":false},"author":2,"featured_media":1501,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[24],"tags":[],"class_list":["post-1755","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguretat-sistemes-informacio"],"yoast_head":"\n
\u2022 Ha implementado controles de autenticaci\u00f3n adecuados? Tiene una autenticaci\u00f3n de dos factores o multi-factor?
\u2022 Se cifran los datos sensibles? C\u00f3mo se gestionan las claves de cifrado?
\u2022 Los mensajes de error muestran informaci\u00f3n sensible al usuario?
\u2022 \u00bfTiene otros controles de seguridad que impidan la inyecci\u00f3n SQL; los ataques XSS; el software malicioso, entre otros?<\/p>\n