seguridad de bd
Páginas: 6 (1494 palabras)
Publicado: 3 de junio de 2014
Tutorial
Seguridad en el ciclo de vida
del desarrollo de software
Por Pablo Milano,
Consultor Cybsec
La mayor parte de las organizaciones desarrolla o contrata el
desarrollo de aplicaciones propias para su gestión de negocio. Como
todo software, estas aplicaciones pueden contener fallas de seguridad
y a diferencia del software comercial, no se dispone de actualizaciones o parchesliberados en forma periódica por el fabricante. El
tratamiento de las vulnerabilidades en aplicaciones propias corre
por parte de la organización que las desarrolla.
previas para que estas fallas sean las menos posibles y no tener que
dejar ‘toda la responsabilidad en el arquero’.
¿Cómo implementar seguridad a lo largo del SDLC? Es importante que el personal de seguridad de la informaciónparticipe
en las distintas etapas de desarrollo, supervisando la realización de
las mismas.
Seguridad en el análisis de requerimientos
¿Qué está pasando en las organizaciones?
Lamentablemente es una práctica habitual en muchas organizaciones la “puesta en producción” de sistemas sin la participación
del sector de Seguridad de la Información. Muchas otras veces, el
sector de Seguridad seentera demasiado tarde, y no tiene suficiente margen de acción para el análisis de seguridad de la aplicación
desarrollada.
Por lo general, en el mejor de los casos, se coordina un testeo
de seguridad una vez que la aplicación ya está desarrollada. Aquí
muchas veces se encuentran errores que requieren el rediseño de
parte de la aplicación, lo cual implica un costo adicional en tiempo
y esfuerzo.Está comprobado que cuánto más temprano se encuentre una
falla de seguridad en el ciclo de vida del desarrollo de software, más
rápida y económica será su mitigación. ¿Cuál es el rumbo a seguir?
Las buenas prácticas indican la conveniencia de incluir seguridad de
la información desde el principio y a lo largo de todas las etapas del
ciclo de vida de desarrollo, conocido como SDLC por serlas siglas
en inglés de Software Development Life Cicle.
Estas etapas pueden variar según la modalidad de cada organización, pero a grandes rasgos son las siguientes: análisis de requerimientos, diseño funcional y detallado, codificación, testing/QA,
implementación/puesta en producción.
Como hemos mencionado antes, es habitual incluir seguridad
únicamente al momento de realizar el Testing. Demanera análoga a
un arquero de fútbol, al que le llegan continuos pelotazos por fallas
en la defensa y debilidades en el ataque, el equipo de Testing/QA
puede hacer su mejor esfuerzo para tratar de detectar la mayor
cantidad de fallas de seguridad, pero deberían aplicarse medidas
Prensario TI | Julio 2010
En esta etapa, se deben identificar aquellos requerimientos funcionales que tendránimpacto en los aspectos de seguridad de la
aplicación. Algunos de ellos son: requerimientos de compliance con
normativas locales o internacionales (ej: PCI, SOX, “A” 4609, etc.),
tipo de información que se transmitirá o procesará (ej: Información
pública o confidencial, datos personales, datos financieros, contraseñas, datos de pago electrónico, etc.) y requerimientos de registros
deauditoría (ej: Qué debe registrar la aplicación en sus Logs).
Seguridad en el diseño
Antes de comenzar a escribir líneas de código, hay numerosos
aspectos de seguridad que deben ser tenidos en cuenta durante el
diseño de la aplicación. Algunos de ellos son: diseño de autorización
(ej: Definir los roles, permisos y privilegios de la aplicación), diseño
de autenticación (aquí se debe diseñar el modoen el que los usuarios
se van a autenticar, contemplando aspectos tales como los mecanismos o factores de autenticación con contraseñas, tokens, certificados,
etc. posibilidades de integrar la autenticación con servicios externos
como LDAP, Radius o Active Directory y los mecanismos que tendrá
la aplicación para evitar ataques de diccionario o de fuerza bruta (ej:
bloqueo de cuentas,...
Seguridad en el ciclo de vida
del desarrollo de software
Por Pablo Milano,
Consultor Cybsec
La mayor parte de las organizaciones desarrolla o contrata el
desarrollo de aplicaciones propias para su gestión de negocio. Como
todo software, estas aplicaciones pueden contener fallas de seguridad
y a diferencia del software comercial, no se dispone de actualizaciones o parchesliberados en forma periódica por el fabricante. El
tratamiento de las vulnerabilidades en aplicaciones propias corre
por parte de la organización que las desarrolla.
previas para que estas fallas sean las menos posibles y no tener que
dejar ‘toda la responsabilidad en el arquero’.
¿Cómo implementar seguridad a lo largo del SDLC? Es importante que el personal de seguridad de la informaciónparticipe
en las distintas etapas de desarrollo, supervisando la realización de
las mismas.
Seguridad en el análisis de requerimientos
¿Qué está pasando en las organizaciones?
Lamentablemente es una práctica habitual en muchas organizaciones la “puesta en producción” de sistemas sin la participación
del sector de Seguridad de la Información. Muchas otras veces, el
sector de Seguridad seentera demasiado tarde, y no tiene suficiente margen de acción para el análisis de seguridad de la aplicación
desarrollada.
Por lo general, en el mejor de los casos, se coordina un testeo
de seguridad una vez que la aplicación ya está desarrollada. Aquí
muchas veces se encuentran errores que requieren el rediseño de
parte de la aplicación, lo cual implica un costo adicional en tiempo
y esfuerzo.Está comprobado que cuánto más temprano se encuentre una
falla de seguridad en el ciclo de vida del desarrollo de software, más
rápida y económica será su mitigación. ¿Cuál es el rumbo a seguir?
Las buenas prácticas indican la conveniencia de incluir seguridad de
la información desde el principio y a lo largo de todas las etapas del
ciclo de vida de desarrollo, conocido como SDLC por serlas siglas
en inglés de Software Development Life Cicle.
Estas etapas pueden variar según la modalidad de cada organización, pero a grandes rasgos son las siguientes: análisis de requerimientos, diseño funcional y detallado, codificación, testing/QA,
implementación/puesta en producción.
Como hemos mencionado antes, es habitual incluir seguridad
únicamente al momento de realizar el Testing. Demanera análoga a
un arquero de fútbol, al que le llegan continuos pelotazos por fallas
en la defensa y debilidades en el ataque, el equipo de Testing/QA
puede hacer su mejor esfuerzo para tratar de detectar la mayor
cantidad de fallas de seguridad, pero deberían aplicarse medidas
Prensario TI | Julio 2010
En esta etapa, se deben identificar aquellos requerimientos funcionales que tendránimpacto en los aspectos de seguridad de la
aplicación. Algunos de ellos son: requerimientos de compliance con
normativas locales o internacionales (ej: PCI, SOX, “A” 4609, etc.),
tipo de información que se transmitirá o procesará (ej: Información
pública o confidencial, datos personales, datos financieros, contraseñas, datos de pago electrónico, etc.) y requerimientos de registros
deauditoría (ej: Qué debe registrar la aplicación en sus Logs).
Seguridad en el diseño
Antes de comenzar a escribir líneas de código, hay numerosos
aspectos de seguridad que deben ser tenidos en cuenta durante el
diseño de la aplicación. Algunos de ellos son: diseño de autorización
(ej: Definir los roles, permisos y privilegios de la aplicación), diseño
de autenticación (aquí se debe diseñar el modoen el que los usuarios
se van a autenticar, contemplando aspectos tales como los mecanismos o factores de autenticación con contraseñas, tokens, certificados,
etc. posibilidades de integrar la autenticación con servicios externos
como LDAP, Radius o Active Directory y los mecanismos que tendrá
la aplicación para evitar ataques de diccionario o de fuerza bruta (ej:
bloqueo de cuentas,...
Leer documento completo
Regístrate para leer el documento completo.