owasp

La nueva guía publicada recientemente por OWASP pretende ser una ayuda para que los encargados de la seguridad en las empresas, CISO (Chief Information Security Officer), implementen de forma adecuada los programas y planes de seguridad desde la perspectiva de la gestión de riesgos y la seguridad de la información.

El documento titulado Application Security, Guide for CISOs está dividido en cuatro partes:

  • Razones para invertir en la seguridad de las aplicaciones, haciendo énfasis en el crecimiento de usuarios, proveedores y clientes que interactúan con la información de la empresa a través de aplicaciones web. De ahí el crecimiento de ataques que tratan de vulnerar estos servicios y por lo tanto la necesidad de protegerlos adecuadamente.
  • Criterios para gestionar los riesgos de seguridad de las aplicaciones basados en la criticidad de los riesgos, las áreas más importantes del negocio y la relación costo benificio de invertir en solucionar vulnerabilidades y mitigar los riesgos versus el impacto negativo que puede llegar a tener un evento que afecte la seguridad de la información.
  • Un plan de seguridad de las aplicaciones, entendiendo que las tareas de identificación y gestión de riesgos debe ser un proceso continuo. Como parte de este proceso se debe revisar que los controles implementados respondan a las nuevas amenazas que vayan apareciendo. Dentro de este plan deben incluirse también aspectos relacionados con la educación y el entrenamiento de los involucrados en seguridad.
  • Métricas de la gestión de riesgos y las inversiones en seguridad con el objetivo de hacer seguimiento a los planes implementados y además contar la información necesaria para presentar los resultados de la gestión a la alta gerencia de la organización.

Vale la pena destacar como dentro del informe se hace énfasis en tecnologías y plataformas como las aplicaciones móviles, la alta interactividad de las aplicaciones web y los servicios de cloud computing que si bien ofrecen una amplia variedad de aplicaciones también presentan una diversidad de amenazas que requieren sean tomadas las medidas de control adecuadas.

Dentro de las fuentes de riesgos en el informe destacan los cambios en las aplicaciones, especialmente cuando tecnologías nuevas o diferentes se integran dentro de las aplicaciones existentes, lo cual está relacionado con lo que mencionamos en nuestro informe de Tendencias 2014 donde una de las principales tendencias en materia de Seguridad de la Información está relacionada con el cibercrimen, particularmente relacionado con dispositivos móviles.

Dado que las aplicaciones evolucionan, ofreciendo nuevos servicios a los clientes y empleados, también es necesario planificar como debe hacerse la mitigación de las nuevas vulnerabilidades introducidas por la adopción de diferentes tecnologías, principalmente destacan dispositivos móviles, Web 2.0 y computación en la nube.

Este documento aparece como una guía interesante sobre cómo mitigar los riesgos de las nuevas amenazas y de las vulnerabilidades que podrían ser incorporadas con la implementación de nuevas tecnologías. Nuevamente se pone en evidencia que la adopción de un marco de riesgo para evaluar las amenazas introducidas por las nuevas tecnologías es fundamental para determinar qué medidas de control adoptar para mitigar estos nuevos riesgos.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research