OWASP – Marco de referencia para la securización de aplicaciones (AppSec)

"OWASP – Marco de referencia para la securización de aplicaciones (AppSec)" artículo de Renato Aquilino Pujol en la seccion "Marcos y Normas" de la edición de octubre de la Revista Mensual Tecnología y Sentido Común TYSC

Open Worldwide Application Security Project (OWASP) es una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software. Sus diferentes proyectos aportan una amplia cantidad de criterios y utilidades de verificación, hasta el punto de convertirse en una plataforma de conocimiento universalmente aceptada como estándar para AppSec.

CONTEXTO

El desarrollo de aplicaciones seguras es una necesidad indiscutible ante la dependencia prácticamente absoluta de toda organización, pública o privada, de sus sistemas de información para el desarrollo de su modelo de negocio o servicio. Las aplicaciones materializan este modelo dotando a la organización de las funcionalidades adecuadas para la realización de las transacciones de negocio y todas sus derivadas.

RIESGOS RELACIONADOS CON APLICACIONES

Este escenario, trasladado a una evaluación simplificada de riesgos, asigna a los activos de tipo “aplicación” un valor alto en la dimensión “disponibilidad” debido a la mencionada dependencia e incapacidad de suplir su indisponibilidad por medios manuales. Por supuesto, esta es una generalización por motivos de espacio en el artículo que debe, en los escenarios reales, ser estudiada y formar parte de un Análisis de Impacto en el Negocio (BIA) donde las aplicaciones son activos de soporte a los servicios corporativos. En la dimensión “confidencialidad” de la información, debe tenerse el modelo de clasificación de datos que asigne valor corporativo (p.e. desarrollo de productos), regulatorio (p.e. datos personales), etc, a la confidencialidad. A su vez, la dimensión “integridad” de la información recibe valor alto dado que la falta de integridad puede corromper, alterar y desvirtuar su exactitud y completitud, originando un grave problema a la organización al desarrollar su modelo basándose en una información incorrecta.

En la ecuación del riesgo interviene fundamentalmente el valor del activo, la probabilidad de que se materialicen las amenazas a las que puede estar expuesto, explotando sus vulnerabilidades, y el impacto que supondría su materialización. Posteriormente, deben identificarse las salvaguardas aplicables para mitigar la probabilidad y el impacto y calcular el riesgo residual tras su aplicación, hasta llegar a un nivel de riesgo aceptable para la organización. Aquí entra OWASP.

OWASP TOP 10

Este “ranking”, cuya última versión está datada en 2021, clasifica las 10 vulnerabilidades más comunes para la seguridad de las aplicaciones, y es un referente muy utilizado para priorizar las iniciativas de securización. El catálogo de vulnerabilidades que utiliza es el CWE. En la versión de 2021 la clasificación es:

A01 – Pérdida del control de acceso.

A02 – Errores criptográficos.

A03 – Inyección.

A04 – Diseño inseguro.

A05 – Configuración incorrecta de seguridad.

A06 – Componentes vulnerables y/o desactualizados.

A07 – Errores de identificación y autenticación.

A08 – Problemas de integridad en el software y/o los datos

A09 – Carencias en registro y monitorización.

A10 – Falsificación de solicitudes en el lado del servidor.

La elaboración de esta clasificación está basada en un gran número de pruebas y reportes, lo que le confiere un razonable grado de confiabilidad. La información ofrecida es significativa y puede ampliarse mediante otros proyectos de OWASP. El acceso completo está en https://owasp.org/Top10/es/

OWASP APPLICATION SECURITY VERIFICATION STANDARD (ASVS)

Un complemento de OWASP TOP 10 es el ASVS, proyecto que ofrece un marco referencial para la verificación de la seguridad de las aplicaciones. Debe tenerse en cuenta que OWASP TOP 10 es un marco enumerativo, descriptivo y “medicinal”, pero no ofrece en sí mismo unos indicadores de verificación de las recomendaciones ofrecidas, algunas de ellas complicadas de evaluar (p.e. A04-Diseño inseguro).

El ASVS ofrece, en su versión vigente a la fecha (4.0.3 de octubre de 2021), un amplio conjunto de criterios de verificación, basados principalmente en NIST y PCI-DSS y, al igual que otros marcos referenciales, dispone de una clasificación L1 a L3 que aporta proporcionalidad a los requerimientos. Está estructurado en 14 capítulos, cubriendo una amplia temática de auditoría:

V1 Arquitectura, Diseño y Modelado de Amenazas

V2 Autenticación

V3 Gestión de sesiones

V4 Control de Acceso…

Continuar leyendo…

Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad