Seguridad En El Código De Un Sistema
Páginas: 10 (2423 palabras)
Publicado: 16 de mayo de 2012
Seguridad en el Código de un Sistema
La historia ha demostrado que los defectos de software, errores y fallas lógicas son siempre la principal causa de las vulnerabilidades de software comúnmente explotadas.
A través del análisis de miles de vulnerabilidades reportadas, profesionales de la seguridad han descubierto que la mayoría de las vulnerabilidades provienen de un número relativamentepequeño de los errores comunes de programación de software.
Mediante la identificación de las prácticas inseguras de codificación que llevan a estos errores y educar a los desarrolladores sobre las alternativas seguras, las organizaciones pueden tomar medidas preventivas para ayudar a reducir significativamente o eliminar vulnerabilidades en el software antes de su despliegue.
Principios deCodificación Segura
Los arquitectos y proveedores de soluciones necesitan una guía para producir aplicaciones seguras por diseño, y que pueden hacer esto, no sólo por la aplicación de los controles básicos documentados en el texto principal, pero también refiriéndose al subyacente "¿Por qué?" en estos principios. Los principios de seguridad como la confidencialidad, integridad y disponibilidad -aunque importante, amplia y vaga - no cambian. Su aplicación será la más robusta cuanto más se les aplican.
Por ejemplo, es una cosa buena en la aplicación de la validación de datos para incluir una rutina de validación centralizada para todas las entradas formulario. Sin embargo, es una cosa mucho más fina para ver la validación en cada nivel para todas las entradas de usuario, junto con elcontrol de errores adecuado y control de acceso robusto.
En el último año o así, ha habido un impulso significativo a normalizar la terminología y taxonomía. Esta versión de la Guía de desarrollo se ha normalizado sus principios con los de los textos más importantes del sector, mientras que caía un principio o dos presentes en la primera edición de la Guía para el Desarrollo. Esto es para evitarconfusión y para aumentar el cumplimiento con un conjunto básico de principios. Los principios que han sido retirados están adecuadamente cubiertos por los controles dentro del texto.
Objetos de Clasificación
Selección de los controles sólo es posible después de clasificar los datos a ser protegido. Por ejemplo, los controles aplicables a los sistemas de bajo valor, como los blogs y los foros sondiferentes al nivel y el número de controles adecuados para la contabilidad, la banca de alto valor, y los sistemas de comercio electrónico.
Acerca de los atacantes
En el diseño de controles para evitar el mal uso de su solicitud, usted debe tener en cuenta que los atacantes más probables (en orden de probabilidad de pérdidas y actualizada de más a menos):
• Personal de descontento o delos desarrolladores
• "Unidad" por los ataques, como los efectos secundarios o consecuencias directas de un virus, gusano, troyano o un ataque
• Atacantes criminales motivados, como el crimen organizado
• Atacantes criminales sin motivo en contra de su organización, como defacers
• Script kiddies
Note que no hay entrada para el término "hacker". Esto se debe a la utilización emotiva eincorrecta de la palabra "hacker" por los medios de comunicación. Sin embargo, es demasiado tarde para recuperar el uso incorrecto de la palabra "hacker" y tratar de devolver la palabra a sus raíces correctas. La Guía de Desarrollo utiliza constantemente la palabra "intruso" que denota, cuando algo o alguien que está activamente tratando de aprovecharse de una característica particular.
Pilaresfundamentales de la seguridad de la información
Seguridad de la información se ha basado en los siguientes pilares:
• Confidencialidad - sólo permiten el acceso a los datos de los que se permite al usuario
• Integridad - asegurar que los datos no es manipulado o alterado por los usuarios no autorizados
• Disponibilidad - Asegurar disponibilidad de sistemas y datos para los usuarios autorizados...
La historia ha demostrado que los defectos de software, errores y fallas lógicas son siempre la principal causa de las vulnerabilidades de software comúnmente explotadas.
A través del análisis de miles de vulnerabilidades reportadas, profesionales de la seguridad han descubierto que la mayoría de las vulnerabilidades provienen de un número relativamentepequeño de los errores comunes de programación de software.
Mediante la identificación de las prácticas inseguras de codificación que llevan a estos errores y educar a los desarrolladores sobre las alternativas seguras, las organizaciones pueden tomar medidas preventivas para ayudar a reducir significativamente o eliminar vulnerabilidades en el software antes de su despliegue.
Principios deCodificación Segura
Los arquitectos y proveedores de soluciones necesitan una guía para producir aplicaciones seguras por diseño, y que pueden hacer esto, no sólo por la aplicación de los controles básicos documentados en el texto principal, pero también refiriéndose al subyacente "¿Por qué?" en estos principios. Los principios de seguridad como la confidencialidad, integridad y disponibilidad -aunque importante, amplia y vaga - no cambian. Su aplicación será la más robusta cuanto más se les aplican.
Por ejemplo, es una cosa buena en la aplicación de la validación de datos para incluir una rutina de validación centralizada para todas las entradas formulario. Sin embargo, es una cosa mucho más fina para ver la validación en cada nivel para todas las entradas de usuario, junto con elcontrol de errores adecuado y control de acceso robusto.
En el último año o así, ha habido un impulso significativo a normalizar la terminología y taxonomía. Esta versión de la Guía de desarrollo se ha normalizado sus principios con los de los textos más importantes del sector, mientras que caía un principio o dos presentes en la primera edición de la Guía para el Desarrollo. Esto es para evitarconfusión y para aumentar el cumplimiento con un conjunto básico de principios. Los principios que han sido retirados están adecuadamente cubiertos por los controles dentro del texto.
Objetos de Clasificación
Selección de los controles sólo es posible después de clasificar los datos a ser protegido. Por ejemplo, los controles aplicables a los sistemas de bajo valor, como los blogs y los foros sondiferentes al nivel y el número de controles adecuados para la contabilidad, la banca de alto valor, y los sistemas de comercio electrónico.
Acerca de los atacantes
En el diseño de controles para evitar el mal uso de su solicitud, usted debe tener en cuenta que los atacantes más probables (en orden de probabilidad de pérdidas y actualizada de más a menos):
• Personal de descontento o delos desarrolladores
• "Unidad" por los ataques, como los efectos secundarios o consecuencias directas de un virus, gusano, troyano o un ataque
• Atacantes criminales motivados, como el crimen organizado
• Atacantes criminales sin motivo en contra de su organización, como defacers
• Script kiddies
Note que no hay entrada para el término "hacker". Esto se debe a la utilización emotiva eincorrecta de la palabra "hacker" por los medios de comunicación. Sin embargo, es demasiado tarde para recuperar el uso incorrecto de la palabra "hacker" y tratar de devolver la palabra a sus raíces correctas. La Guía de Desarrollo utiliza constantemente la palabra "intruso" que denota, cuando algo o alguien que está activamente tratando de aprovecharse de una característica particular.
Pilaresfundamentales de la seguridad de la información
Seguridad de la información se ha basado en los siguientes pilares:
• Confidencialidad - sólo permiten el acceso a los datos de los que se permite al usuario
• Integridad - asegurar que los datos no es manipulado o alterado por los usuarios no autorizados
• Disponibilidad - Asegurar disponibilidad de sistemas y datos para los usuarios autorizados...
Leer documento completo
Regístrate para leer el documento completo.