La rápida evolución de la tecnología, y más concretamente en el ámbito de la informática y las comunicaciones posibilita que la sociedad desarrolle sus tareas de forma más eficiente, incluso de forma remota. Vivimos en la transformación digital constante, los dispositivos conectados están totalmente integrados en nuestras vidas, y están cambiando por completo nuestras formas de comunicarnos. Esto ha llevado a las organizaciones a prestar cada vez más servicios desde internet, lo que supone que información que antes permanecía dentro de la organización (bases de datos, historiales clínicos de pacientes, información de clientes, etc.), pasen a poder ser accesible desde el exterior. Esto supone que sea necesario realizar un importante esfuerzo para su protección. Cada semana se publican miles de vulnerabilidades en las principales plataformas: Microsoft, Cisco, Apple, Google, Facebook, Liferay, etc., lo que puede suponer un riesgo, no sólo para estas, también para todos aquellos sistemas que puedan depender de alguna manera estas tecnologías.

Verificación temprana,  periódica y en profundidad

Es común en las empresas que desarrollan tecnologías (webs, apps, smartphones, wearables, etc.), que las pruebas de seguridad se desarrollen en la fase final de creación del producto, si es que se realizan. Lo que supone que si en los test de seguridad se detectan algunos fallos graves, el producto tenga que volver a la fase inicial de desarrollo.

La integración de los test de seguridad dentro del ciclo de desarrollo del producto (SDLC) implica que desde su creación, el producto sea concebido teniendo en cuenta elementos de  seguridad y por tanto su base de desarrollo sea más sólida. La seguridad por tanto, debe verificarse de forma temprana,  periódica y en profundidad, para que el producto sea robusto desde su desarrollo. Esta filosofía es muy fácil de integrar con metodologías ágiles en la empresa.

Hay que entender un entorno continuo e indiscriminado de testing, de poco nos vale realizar una auditoría en profundidad de una aplicación cada año, si cada día tenemos nuevas actualizaciones de Android, iPhone, Windows, Oracle o WordPress. Necesitamos construir un entorno de pruebas continuas, que nos permitan detectar los problemas de seguridad y mitigarlos desde el desarrollo. También deben existir pruebas a los diferentes componentes de la aplicación, ya que alguno de ellos puede generar un mal uso en la misma. Esto también se extiende a las pruebas sobre los servidores que alojan la aplicación.

Una prueba de seguridad de calidad no supervisa sólo los comportamientos normales dentro de la aplicación, es necesario ir más allá y ser creativo en la auditoría. Por esto no debemos depender en exceso de herramientas automatizadas.

Programar seguro

Desde FESAC apostamos por integrar de forma transversal la seguridad en la programación, desde el inicio del estudio del lenguaje. De forma que nuestro alumnado sea consciente desde el principio de la necesidad de integrar test de seguridad en el propio ciclo de desarrollo.

En nuestro material didáctico integramos guías de referencia en materia de desarrollo seguro, como la “OWASP TESTING GUIDE”. OWASP, fundación sin ánimo de lucro, orientada a promover el desarrollo seguro de aplicaciones web y de software en general, publica periódicamente diferentes guías, informes y estadísticas sobre la seguridad en el desarrollo. Es el caso de la Guía de Testing (OWASP Testing Guide), que recopila una batería de más de cien pruebas que puedes ejecutar sobre tus propias aplicaciones (web y apps).

Ramón Salado | FESAC | BeeHackers

Categorías

diciembre 2020
L M X J V S D
 123456
78910111213
14151617181920
21222324252627
28293031  
FESAC / Formación y Estudios Sagrados Corazones
info@fesac.es
954 452 299