Publicado el 16 de Agosto del 2017
2.236 visualizaciones desde el 16 de Agosto del 2017
1,5 MB
107 paginas
Creado hace 9a (17/03/2015)
Guía de Seguridad en
Aplicaciones para CISOs
El Guía de Seguridad en Aplicaciones para CISOs versión 1.0 documento es una traducción al español
del documento oficial en inglés “Application Security Guide For CISOs” de OWASP.
Guía OWASP CISO
Tabla de contenido
Guía de Seguridad en Aplicaciones para CISOs ........................................................................................ 1
Tabla de contenido ................................................................................................................................. 2
Licenciamiento ....................................................................................................................................... 3
1. Preámbulo .......................................................................................................................................... 3
1.1. Introducción ................................................................................................................................ 3
1.2. Resumen Ejecutivo....................................................................................................................... 4
Prefacio ............................................................................................................................................ 11
Sobre esta versión en español .......................................................................................................... 11
2. La Guía del CISO................................................................................................................................ 12
Parte I: Razones para invertir en Seguridad de Aplicaciones .............................................................. 12
Parte II: Criterios para gestionar riesgos de seguridad en aplicaciones .............................................. 35
Parte III: Programa de Seguridad de Aplicaciones ............................................................................. 67
Parte IV: Métricas para Gestionar Riesgos e Inversiones en Aplicaciones de Seguridad ..................... 88
3. Información de soporte .................................................................................................................... 97
4. Apéndices ........................................................................................................................................ 102
Apéndice A: Valor de los datos y costo de un incidente .................................................................... 102
Apéndice B: Referencia rápida a otras guías y proyectos en OWASP ................................................ 106
2
Guía OWASP CISO
Licenciamiento
La Guía de Seguridad en Aplicaciones para CISOs de OWASP es de uso gratuito. Esta Guía llega a usted
bajo licencia Reconocimiento-Compartir Igual 3.0 España (CC BY-SA 3.0 ES), así que puede copiar, distribuir
y difundir este trabajo, adaptarlo y utilizarlo comercialmente, pero todo lo que atribuya, altere, transforme
o amplíe sobre este trabajo, deberá distribuirse sólo bajo la misma licencia o similar a ésta.
1. Preámbulo
1.1. Introducción
Entre las partes interesadas en la seguridad de las aplicaciones, los Jefes de Seguridad de la
Información (CISOs) son responsables de la seguridad de las aplicaciones desde la perspectiva de gobierno,
cumplimiento y riesgo. Esta guía pretende ayudar a los CISOs a gestionar programas de seguridad en
aplicaciones de acuerdo a sus roles, responsabilidades, perspectivas y necesidades. Las mejores prácticas
de seguridad en aplicaciones y los recursos de OWASP están referenciados en esta guía. OWASP es una
organización sin fines de lucro cuya misión es “hacer visible la seguridad en aplicaciones y potenciar a las
partes interesadas con información adecuada para la gestión de riesgos de seguridad en las aplicaciones”.
Esta guía está escrita para ayudar a los CISOs, quienes son responsables de la gestión de programas
de seguridad de aplicaciones, desde las perspectivas de la seguridad de la información y la gestión de
riesgos. Desde la perspectiva de la seguridad de la información, existe la necesidad de proteger activos de
la organización tales como el ciudadano, los datos sensibles de los clientes, las bases de datos donde se
almacenan estos datos, la infraestructura de red en la que los servidores de bases de datos residen y por
último, pero no menos importante, las aplicaciones y el software utilizado para acceder y procesar estos
datos. Además de los datos del negocio y de los usuarios, las aplicaciones y el software están entre los
activos que los CISOs buscan proteger. Algunas de estas aplicaciones y softwares proporcionan funciones
críticas de negocio a los clientes, generando ingresos para la organización. Los ejemplos incluyen
aplicaciones y software que les proporcionan a los clientes servicios para sus negocios, así como también
aplicaciones que son vendidas como productos a sus clientes. En el caso en que las aplicaciones se
consideren activos de información críticos para el negocio, deben recibir una atención especial en recursos
humanos, capacitación, procesos, normas y herramientas.
El alcance de esta guía es la seguridad de las aplicaciones web, los componentes de la arquitectura,
como la seguridad de servidores web, servidores de aplicación y bases de datos. Esto no incluye otros
aspectos de seguridad que no estén relacionados con la aplicación específica, tales como la seguridad de
la infraestructura de red que soporta las aplicaciones y constituye un activo valioso cuyas propiedades de
seguridad como la confidencialidad, integridad y disponibilidad también necesitan ser protegidas.
Objetivos
Esta guía ayuda a los CISOs a gestionar los riesgos de seguridad en aplicaciones, al considerar la
exposición a amenazas emergentes y requisitos de cumplimiento. Esta guía ayuda a:
• Hacer visible la seguridad en aplicaciones a los CISOs.
3
Guía OWASP CISO
• Garantizar la conformidad de las aplicaciones respecto a regulaciones sobre privacidad, protección
de datos y seguridad de la información.
• Priorizar la remediación de vulnerabilidades basado en la exposición al riesgo para el negocio.
• Proporcionar orientación para la construcción y gestión de procesos de seguridad en aplicaciones.
• Analizar ciberamenazas contra aplicaciones e identificar contramedidas.
•
• Medir y gestionar riesgos de seguridad en aplicaciones y procesos.
Instituir capacitaciones sobre seguridad en aplicaciones para desarrolladores y administradores.
Jefes de Seguridad de la Información (CISOs)
Destinatarios
•
• Administradores de seguridad senior
• Administradores de tecnología senior
1.2. Resumen Ejecutivo
El hecho que las aplicaciones deban ser consideradas activos de la empresa es “per se” una buena
razón para colocarlas dentro del alcance de cumplimiento de las políticas y normas de seguridad de la
información. El impacto del cumplimiento de tales políticas y normas para las aplicaciones depende
típicamente de la clasificación de los activos de información almacenados por la aplicación, el tipo de
exposición de la aplicación ante los usuarios (por ejemplo, Internet, intranet, extranet) y los riesgos que la
funcionalidad de la aplicación admite con los datos (por ejemplo, acceso a datos confidenciales,
transferencia de dinero, pagos, administración de usuarios, etc.). Desde una perspectiva de seguridad de
la información, las aplicaciones deben estar dentro del alcance de las evaluaciones de vulnerabilidades
específicas y los requisitos de seguridad de la aplicación. Las validaciones de seguridad y la certificación de
aplicaciones siguen requisitos específicos de seguridad, tales como el diseño seguro, programación segura
y operaciones seguras. Estos son a menudo parte de los objetivos de las normas de seguridad en
aplicaciones. Por lo tanto, el cumplimiento es un aspecto crítico de la seguridad en aplicaciones y de las
responsabilidades del CISO, pero no el único. La seguridad en aplicaciones abarca otros dominios en los
cuales los CISOs son responsables. Tales dominios se pueden resumir con la sigla GRC (Gobierno, Riesgo y
Cumplimiento).
• Desde la perspectiva del gobierno, los CISOs son responsables por instituir procesos de seguridad
en aplicaciones, roles y responsabilidades para gestionarlos, capacitación y concientización en
seguridad de software para desarrolladores, tal como programación defensiva y gestión de
riesgos/vulnerabilidades para oficiales/administradores de seguridad de la información.
• Desde la perspectiva de la gestión de riesgos, los gestionados por los CISOs también incluyen los
riesgos de seguridad en aplicaciones, como los derivados de amenazas específicas dirigidas a
aplicaciones que procesan datos confidenciales de usuarios buscando explotar brechas en
controles de seguridad, así como vulnerabilidades en aplicaciones.
• Entre los dominios en los que actúan los CISOs, el cumplimiento de regulaciones y normas de
seguridad, suele ser el que recibe la mayor atención por parte de la dirección ejecutiva de la
organización. El objetivo de esta guía es ayudar a los CISOs a cumplir los requerimientos de
4
Guía OWASP CISO
cumplimiento, así como utilizarlos como una de las razones para justificar inversiones relacionadas
con seguridad en aplicaciones. Para algunas organizaciones, gestionar riesgos de incidentes de
seguridad tales como fraudes con tarjetas de crédito, robo de información personal, robo de
propiedad intelectual y datos confidenciales es lo que se lleva la mayor atención de la dirección
ejecutiva, sobre todo cu
Crear cuenta
Comentarios de: OWASP - Guía de Seguridad en Aplicaciones para CISOs (0)
No hay comentarios