Auditoria De Apliciones
Páginas: 7 (1633 palabras)
Publicado: 20 de octubre de 2011
Síntesis Narrativa de Auditoría de Aplicaciones.-
Éste capítulo se enfoca principalmente a impulsar la generación de nuevas ideas y pensamientos respecto a las medidas de auditorías específicas para nuestro objeto de auditoría. Resalta también la importancia de mantenerse actualizado en cuanto a las mejoras referentes a temas de auditoría. Para implementar cada vez mejores controles.
Así comoayuda a descubrir aquellas opciones que mejor nos convienen.
Los marcos de trabajo generalizados son útiles ya que nos ayudan a iniciar un nuevo proceso visualizando los posibles riesgos y elaborando preguntas acerca de una nueva aplicación.
Ejemplos de ésta ayuda son el PPTM, STRIDE y PDIO.
PPTM viene de peoples, process, tools and measures. Permite examinar una aplicación a nivelmacro, a través de un marco de trabajo de lluvia de ideas. Examina una aplicación desde el punto de vista de las personas involucradas desde el usuario final hasta los altos directivos, para garantizar que la aplicación tendrá aceptación. Así también verifica que los procesos realicen las funciones para las que fueron diseñados. Las herramientas o tecnologías tienen que ver con la utilización demaquinaria y tecnología de vanguardia o la más adecuada para nuestra aplicación. Así como verificar que ésta tenga conceptos susceptibles de ser medidos.
STRIDE es una metodología que permite identificar amenazas conocidas. El nombre se forma con el acrónimo de las primeras letras de los procesos que involucra, y es un modelo de amenaza-riesgo fácil de implementar y recordar.
Spoofing Identity.Se refiere a la posibilidad de que un usuario pueda suplantar la identidad de otro y realizar acciones indebidas o dañinas en la aplicación. La aplicación debe buscar asegurarse que el usuario es quine dice ser.
Tampering With Data. El sistema debe ser capaz de validar al usuario antes de enviarle datos importantes o de modificar datos a petición del usuario.
Repudiation. El sistema debeguardar un histórico de las transacciones realizadas por los usuarios, sobre todo cuando son sobre datos críticos, para evitar que los usuarios repudien algo acto efectuado por ellos. Aunque se debe dar preferencia a procesos de control sencillos, como sólo los privilegios de los usuarios, para no cargar al sistema con tantos controles.
Information Disclosure. Se debe tener cuidado al momento deproporcionar información a un usuario, ya que se puede divulgar información confidencial de los mismos, provocando pérdida de confianza y de la reputación de la empresa a través de la aplicación.
Denial of Service. Implica separar los controles para usuarios reconocidos de usuarios anónimos. Para evitar sobrecargar el proceso de autenticación con grandes proceso o grandes colas hacia bases dedatos que revisen privilegios. Y así evitar estar negando el servicio continuamente.
Elevation of Privilege.- Evitar que el usuario mismo pueda elevar sus privilegios. Usar matrices para controlar el acceso de un usuario hacia nuevos privilegios o derechos.
PDIO.- Presentado por Cisco Systems, proviene de las siglas planning, design, implementation and operation. Considerar los posiblesproblemas inherentes a la aplicación y en base a éstos identificar las soluciones.
Mejores Prácticas.-Permiten detectar rápidamente aquellas partes de la aplicación que son vulnerables por ser débiles en cuanto a seguridad al tener pobres controles. Entre las mejores prácticas tenemos las siguientes: Aplicación de defensa en profundidad, Usar modelos de seguridad positivos, Ejecuciones con menosprivilegios, Evitar seguridad por obscuridad, Mantener seguridad simple, Detectar intrusiones y mantener registros, Nunca confiar en infraestructura y servicios, Establecer valores predeterminados, Desarrollar aplicaciones auditadas.
Parte 1.- Controles de Entrada.- Los controles aplicados incorrectamente en las entradas suelen ser constantemente fuente de vulnerabilidades.
1.- Revisar y...
Éste capítulo se enfoca principalmente a impulsar la generación de nuevas ideas y pensamientos respecto a las medidas de auditorías específicas para nuestro objeto de auditoría. Resalta también la importancia de mantenerse actualizado en cuanto a las mejoras referentes a temas de auditoría. Para implementar cada vez mejores controles.
Así comoayuda a descubrir aquellas opciones que mejor nos convienen.
Los marcos de trabajo generalizados son útiles ya que nos ayudan a iniciar un nuevo proceso visualizando los posibles riesgos y elaborando preguntas acerca de una nueva aplicación.
Ejemplos de ésta ayuda son el PPTM, STRIDE y PDIO.
PPTM viene de peoples, process, tools and measures. Permite examinar una aplicación a nivelmacro, a través de un marco de trabajo de lluvia de ideas. Examina una aplicación desde el punto de vista de las personas involucradas desde el usuario final hasta los altos directivos, para garantizar que la aplicación tendrá aceptación. Así también verifica que los procesos realicen las funciones para las que fueron diseñados. Las herramientas o tecnologías tienen que ver con la utilización demaquinaria y tecnología de vanguardia o la más adecuada para nuestra aplicación. Así como verificar que ésta tenga conceptos susceptibles de ser medidos.
STRIDE es una metodología que permite identificar amenazas conocidas. El nombre se forma con el acrónimo de las primeras letras de los procesos que involucra, y es un modelo de amenaza-riesgo fácil de implementar y recordar.
Spoofing Identity.Se refiere a la posibilidad de que un usuario pueda suplantar la identidad de otro y realizar acciones indebidas o dañinas en la aplicación. La aplicación debe buscar asegurarse que el usuario es quine dice ser.
Tampering With Data. El sistema debe ser capaz de validar al usuario antes de enviarle datos importantes o de modificar datos a petición del usuario.
Repudiation. El sistema debeguardar un histórico de las transacciones realizadas por los usuarios, sobre todo cuando son sobre datos críticos, para evitar que los usuarios repudien algo acto efectuado por ellos. Aunque se debe dar preferencia a procesos de control sencillos, como sólo los privilegios de los usuarios, para no cargar al sistema con tantos controles.
Information Disclosure. Se debe tener cuidado al momento deproporcionar información a un usuario, ya que se puede divulgar información confidencial de los mismos, provocando pérdida de confianza y de la reputación de la empresa a través de la aplicación.
Denial of Service. Implica separar los controles para usuarios reconocidos de usuarios anónimos. Para evitar sobrecargar el proceso de autenticación con grandes proceso o grandes colas hacia bases dedatos que revisen privilegios. Y así evitar estar negando el servicio continuamente.
Elevation of Privilege.- Evitar que el usuario mismo pueda elevar sus privilegios. Usar matrices para controlar el acceso de un usuario hacia nuevos privilegios o derechos.
PDIO.- Presentado por Cisco Systems, proviene de las siglas planning, design, implementation and operation. Considerar los posiblesproblemas inherentes a la aplicación y en base a éstos identificar las soluciones.
Mejores Prácticas.-Permiten detectar rápidamente aquellas partes de la aplicación que son vulnerables por ser débiles en cuanto a seguridad al tener pobres controles. Entre las mejores prácticas tenemos las siguientes: Aplicación de defensa en profundidad, Usar modelos de seguridad positivos, Ejecuciones con menosprivilegios, Evitar seguridad por obscuridad, Mantener seguridad simple, Detectar intrusiones y mantener registros, Nunca confiar en infraestructura y servicios, Establecer valores predeterminados, Desarrollar aplicaciones auditadas.
Parte 1.- Controles de Entrada.- Los controles aplicados incorrectamente en las entradas suelen ser constantemente fuente de vulnerabilidades.
1.- Revisar y...
Leer documento completo
Regístrate para leer el documento completo.