Tirando de la seguridad hacia la izquierda: cómo pensar en la seguridad antes de escribir código


Involucrar a todos en la seguridad y empujar las conversaciones cruciales hacia la izquierda no solo protegerá mejor a su organización, sino que también facilitará el proceso de escritura de código seguro.

Oficina moderna: Retrato de un programador de TI negro motivado que trabaja en una computadora portátil.  Especialista masculino Crear sitio web, Ingeniero de software Desarrollar aplicación, Programa, Videojuego.  Espacio Inclusivo Libre de Estrés
Imagen: Gorodenkoff/Adobe Stock

La tecnología ha transformado todo, desde la forma en que manejamos nuestros negocios hasta la forma en que vivimos nuestras vidas. Pero con esa conveniencia vienen nuevas amenazas. Las infracciones de seguridad de alto perfil en empresas como Goal, Facebook y Equifax son recordatorios de que nadie es inmune. Como líderes tecnológicos, tenemos la responsabilidad de crear una cultura en la que proteger las aplicaciones y los ecosistemas digitales sea responsabilidad de todos.

Un nuevo enfoque: Seguridad por diseño

Un enfoque para escribir, construir e implementar aplicaciones seguras se conoce como seguridad por diseño o SbD. Tomando la nube por asalto después de la publicación de un Libro blanco de Amazon en 2015, SbD sigue siendo el marco recomendado por Amazon en la actualidad para abordar sistemáticamente la seguridad desde el principio. SbD es un enfoque de garantía de seguridad que formaliza el diseño de seguridad, automatiza los controles de seguridad y agiliza la auditoría. El marco divide la protección de una aplicación en cuatro pasos.

Conozca sus requisitos

Resuma sus políticas y documente los controles. Decida qué reglas de seguridad desea aplicar. Sepa qué controles de seguridad hereda de cualquiera de los proveedores de servicios externos en su ecosistema y cuáles son de su propiedad.

Cree un entorno seguro para cumplir con sus requisitos documentados

Cuando comience a definir la infraestructura que admitirá su aplicación, consulte sus requisitos de seguridad como variables de configuración y anótelos en cada componente.

VER: Package de contratación: Científico de datos (TechRepublic Quality)

Por ejemplo, si su aplicación requiere el cifrado de datos en reposo, marque cualquier almacenamiento de datos con una etiqueta «cifrado = verdadero». Si debe registrar toda la actividad de autenticación, etiquete sus componentes de autenticación con «log = correct». Estas etiquetas mantendrán la seguridad en mente y luego le informarán sobre qué plantilla debe incluir.

Hacer cumplir a través de políticas, automatización y plantillas

Una vez que sepa cuáles son sus controles de seguridad y dónde deben aplicarse, no querrá dejar nada al error humano. Ahí es donde entran sus plantillas. Al automatizar la infraestructura como código, puede estar tranquilo sabiendo que el propio sistema evita que alguien cree un entorno que no cumpla con las reglas de seguridad que ha definido. No importa cuán trivial pueda parecer la configuración, no desea que los administradores configuren las máquinas a mano, en la nube o en las instalaciones. Escribir guiones para hacer estos cambios se amortizará mil veces.

Realizar actividades regulares de validación.

El último paso en el marco de seguridad por diseño es definir, programar y realizar validaciones periódicas de sus controles de seguridad. Esto también se puede automatizar en la mayoría de los casos, no solo periódicamente sino de forma continua. Lo más importante que debe recordar es que desea un sistema que siempre cumpla con las normas y, como resultado, el sistema siempre esté listo para la auditoría.

¿Cuál es el retorno de la inversión de SbD?

Cuando se ejecuta correctamente, el enfoque SbD proporciona una serie de beneficios tangibles.

  • Forzar funciones que no pueden ser anuladas por usuarios que no están autorizados
  • Funcionamiento fiable de los controles.
  • Auditoría continua y en tiempo authentic
  • Escritura técnica de su política de gobierno

Además, ya sea en las instalaciones o en la nube, asegúrese de que sus políticas de seguridad aborden los siguientes vectores:

  • Seguridad de la red
  • Command de inventario y configuración
  • Cifrado de datos
  • Command de acceso
  • Monitoreo y registro

Mantener el conocimiento de las principales amenazas

Cuando se trata del desarrollo authentic de la aplicación, tenga en cuenta las Leading 10 de OWASP. Este es un documento de concienciación estándar para desarrolladores y seguridad de aplicaciones website. Representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones net. Cambia con el tiempo, pero a continuación hemos compilado la lista principal de amenazas de 2022.

  1. Handle de acceso roto
  2. Fallos criptográficos
  3. Inyección
  4. Diseño inseguro
  5. Configuración incorrecta de seguridad
  6. Componentes vulnerables y obsoletos
  7. Identificaciones y fallas de autenticación
  8. Fallas de integridad de software package y datos
  9. Registro de seguridad y fallas de monitoreo
  10. Falsificación de solicitud del lado del servidor

Si bien es importante que sus desarrolladores comprendan estas amenazas (paso uno del proceso SbD) para que puedan identificar los controles adecuados e implementarlos en consecuencia (pasos dos y tres), es igualmente importante que las actividades de validación (paso cuatro) se apliquen durante y después del proceso de desarrollo. Hay una serie de herramientas comerciales y de código abierto que pueden ayudar con esta validación.

El proyecto OWASP mantiene una lista actualizada de estas herramientas e incluso mantiene algunos de estos proyectos de código abierto directamente. Encontrará estas herramientas principalmente dirigidas a una tecnología en distinct y los ataques exclusivos de esta.

Prácticas recomendadas a nivel de cuenta

Ninguna organización puede ser verdaderamente segura sin mitigar el mayor riesgo para la seguridad: los usuarios. Aquí es donde entran en juego las mejores prácticas de cuentas. Al aplicar las mejores prácticas de cuentas, las organizaciones pueden asegurarse de que sus usuarios no comprometan inadvertidamente la seguridad common del sistema. Asegúrese de que, como organización, está siguiendo las mejores prácticas de seguridad en torno a la administración de cuentas:

  • Aplicar contraseñas seguras en todos los recursos
  • Usar alias de correo electrónico de grupo a nivel de cuenta
  • Habilitar MFA
  • Nunca use la raíz para el acceso diario
  • Eliminar claves de acceso a nivel de cuenta
  • Habilitar registro

Recuerde los requisitos normativos y de cumplimiento

En algunas industrias o geografías, deberá cumplir con controles de seguridad adicionales. Los más comunes incluyen PCI para pagos e HIPAA para registros médicos. Es vital que haga su tarea, y si se encuentra sujeto a alguno de estos requisitos de seguridad adicionales, puede valer la pena ponerse en contacto con un consultor de seguridad que se especialice en los controles particulares necesarios, ya que las infracciones a menudo conllevan multas elevadas.

Es importante recordar que, si bien las organizaciones son el objetivo de los ataques cibernéticos, las víctimas son las personas: son sus clientes son sus empleados son personas reales que han depositado su confianza en ti y en tu tecnología. Por eso es essential que las organizaciones se inclinen por proteger las aplicaciones desde el principio.

Las medidas de seguridad reactivas no tendrán éxito en el entorno electronic acelerado de hoy. Los CIO inteligentes están adoptando un enfoque proactivo, desviando las conversaciones de seguridad hacia la izquierda, involucrando a todo el negocio e incorporando las mejores prácticas en cada paso del ciclo de vida del desarrollo de application.



Enlace a la noticia initial