Documente Academic
Documente Profesional
Documente Cultură
[2.7] Referencias
TEMA
Esquema
TEMA 2 – Esquema
ESTÁNDARES PARA LA SEGURIDAD DE
APLICACIONES
Política de seguridad
Ciclo de vida de
Sistema de gestión de desarrollo seguro de
seguridad de la software (SSDLC)
información (SGSI)
Ideas clave
Para estudiar este tema lee las Ideas clave que encontrarás a continuación.
En este tema se analizan los pilares en los que debe apoyarse la implantación de la
seguridad online de las aplicaciones. El pilar principal es la implantación de la política
de seguridad que debe existir en toda organización y que obliga a todos sus
componentes por igual con el objetivo de alcanzar el máximo grado de seguridad en los
sistemas de información y comunicaciones de la organización.
Por tanto se puede considerar que los pilares fundamentales para el diseño e
implementación de la seguridad de las aplicaciones son tres:
» Política de seguridad.
» Sistema de gestión de seguridad de la información.
» Ciclo de vida de desarrollo seguro de software.
Principios de seguridad
Principio de simplicidad
Este apartado explica los tipos de normativas necesarias en una política de seguridad
y también las fases y actividades a llevar a cabo dentro del proceso de seguridad de
acuerdo con los principios de seguridad que deben regir toda política de seguridad.
Además, explica cómo es la puesta en marcha del proceso de seguridad que se puede
escenificar como una rueda con las siguientes fases genéricas (las desarrolla y amplifica
el SGSI+SSDLC):
Otro aspecto importante que debe tratar de conseguirse es el ilustrado por los
principios de defensa en profundidad y de diversidad de defensa. Se debe
intentar tener más de un nivel de defensa y a poder ser de distinta naturaleza para, de
esta forma, hacer más difícil el trabajo del supuesto atacante que no solo debe vencer
más de una defensa sino que cada una le obliga a tener distintos tipos de conocimiento.
Es necesario remarcar que se debe cumplir en todas ellas cualquier obligación legal en
el marco de las leyes del país donde se quiera imponer la política.
Un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambios
internos de la organización, así como los externos del entorno gestionando el riesgo de
forma dinámica, con el objetivo de que el riesgo residual sea el mínimo posible.
Hay varios modelos que se pueden seguir para implantar un SGSI, normalmente siguen
el esquema de fases plan-do-check-act (PDCA) que significa «planificar-hacer-
controlar-actuar» siendo este un enfoque de mejora continua basado en una
monitorización constante del sistema que permita actualizar el riesgo residual de forma
dinámica de los activos de la organización:
ISO 27001
Este sistema sigue el enfoque de mejora continua de fases PDCA y los aspectos y
documentación más importantes a desarrollar en este esquema son:
» Implicación de la dirección.
» Alcance del SGSI y política de seguridad.
» Inventario de todos los activos de información.
» Metodología de evaluación del riesgo.
» Identificación de amenazas, vulnerabilidades e impactos.
» Análisis y evaluación de riesgos.
» Selección de controles para el tratamiento de riesgos.
» Aprobación por parte de la dirección del riesgo residual.
» Declaración de aplicabilidad.
» Plan de tratamiento de riesgos.
» Implementación de controles, documentación de políticas, procedimientos e
instrucciones de trabajo.
» Definición de un método de medida de la eficacia de los controles y puesta en marcha
del mismo.
» Formación y concienciación en lo relativo a seguridad de la información a todo el
personal.
» Monitorización constante y registro de todas las incidencias.
» Realización de auditorías internas.
» Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI
y de su alcance.
» Mejora continua del SGSI.
Security and privacy and controls for federal information systems and
organizations. NIST SP 800-53. Rev4
» Monitorizar:
o El administrador de seguridad del sistema (ASS) recopila información sobre el
desempeño del sistema de información en materia de seguridad.
o El responsable de la seguridad monitoriza que el sistema de información se
comporta dentro de los márgenes aceptados de riesgo.
o Los responsables de la información y de los servicios son informados de
desviaciones significativas del riesgo sobre los activos de los que son propietarios;
si la desviación es elevada, el responsable del sistema puede acordar la suspensión
temporal del servicio hasta que se puedan garantizar niveles aceptables de riesgo
La seguridad de la aplicación tiene que tratarse obligatoriamente en todas las fases del
ciclo de vida desarrollo seguro (SSDLC) de aplicaciones. En cada una de las fases, como
veremos más adelante, se han de realizar prácticas que tienen que ver con el diseño, la
implementación y pruebas de la seguridad de la aplicación tratando y cubriendo todos
los aspectos y principios de la seguridad.
» En primer lugar hay que derivar los requisitos de seguridad y casos de abuso de la
aplicación.
» Hay que diseñar la seguridad de la aplicación en base a los requisitos de seguridad y
casos de abuso de la fase 1 y de los principios de seguridad: autenticación,
autorización, control de accesos a recursos, cifrado de datos, seguridad en
profundidad para asegurar el no repudio, confidencialidad e integridad de datos, etc.
» Se diseñan los casos de test funcionales de seguridad basados en el riesgo.
» Se implementa el código de la aplicación siguiendo buenas prácticas de desarrollo
seguro como son la validación de las entradas y salidas de la aplicación, gestión de
errores, etc.
» Se ejecutan los casos de test para prueba del diseño funcional de la seguridad.
» Se prueba la seguridad del código y funcional de seguridad de la aplicación con
técnicas de caja blanca y de caja negra. Estas pruebas pueden conducir a un ciclo
volviendo a la primera fase para definir nuevos requisitos o redefinir los existentes
para solucionar problemas encontrados.
» Se despliega la aplicación y se prueba mediante test de penetración.
» Para la fase de producción se diseñan operaciones de seguridad como monitorización,
auditoría, gestión de backups, centro de respaldo, etc.
» Revisión de código.
» Análisis de riesgo arquitectónico.
» Pruebas de penetración.
» Pruebas de seguridad basados en riesgo.
» Casos de abuso.
» Requisitos de seguridad.
» Operaciones de seguridad.
» Revisión externa.
» Según se van descubriendo nuevas amenazas se tienen nuevos casos de abuso que
implican nuevos riesgos, lo que implica rehacer el análisis de riesgos.
» Si se introducen cambios o se introducen nuevos componentes de software o de
hardware en el sistema hay que rehacer el análisis de riesgos y revisar el código
de nuevos componentes de software.
» Nuevos defectos de implementación de partes que se modifican con arreglo a
nuevas especificaciones o cambios en las mismas implica nueva revisión de código y
nuevas pruebas de seguridad en operación del sistema.
» Por supuesto siempre hay que incidir en la prevención, formación en seguridad,
documentando, realizando cuantificación y análisis de métricas de seguridad que se
puedan emplear en futuros proyectos para mejorar.
Este conocimiento puede reunirse a través de varias fuentes, una de ellas es recurrir a
organizaciones y estándares que se vienen ocupando desde hace tiempo de recopilar
información sobre metodologías, protocolos, criptografía, paradigmas, proyectos de
referencia, estudios sobre los aspectos y particularidades de todo lo que concierne a la
seguridad, herramientas de test y herramientas y otras formas de protección en tiempo
real, etc.
Everyone is free to participate in OWASP and all of out materials are available
under a free and open software license. You´ll find everything about OWASP
here on or linked from our wiki and current information on our OWASP Blog.
OWASP does not endorse or recommend comercial products or services,
allowing ourcommunity to remain vendor neutral with the collective wisdom of
the best minds in software security worldwide. We ask that the community look
out for inappropriate uses of the OWASP Brand including use of out name,
logos, Project names and other trademark issues.
The web Application security consortium (WASC) is 501c3 non profit made up
of an international group of experts, industry practitioners and organizational
representatives who produce open source and widely agreed upon best-practise
security standards for the world wide web. As an active community, WASC
facilitates the Exchange of ideas and organizes several industry projects. WASC
consistently releases technical information, contributed articles, security
guidelines and other useful documentation. Businesses, educational
institutions, governments, application developers security professionals, and
software vendors all over the world utilize our materials to assist with the
challenges presented by web application security. Volunteering to participate in
WASC related activities is free and open to all.
CWE MITRE
Se ocupa de áreas como: análisis de seguridad del código, de las aplicaciones, evaluación
de sistemas, entrenamiento, gestión del riesgo, etc. Todas relacionadas con la seguridad
de sistemas y aplicaciones. Pero principalmente proporciona un diccionario de uso
público internacional que proporciona una medida unificada de un
conjunto de debilidades de software que pueden dar lugar a
vulnerabilidades de seguridad.
Hay que hacer distinción de lo que es una definición CVE de lo que es una definición
CWE. La diferencia está en que la lista CWE son errores en el software que pueden
conducir a una vulnerabilidad de software. La lista de vulnerabilidades CVE son errores
de software concretos detectados en un sistema determinado (por ejemplo: CVE 1999-
0005 Arbitrary command execution vía IMAP buffer overflow in authenticate
command) que pueden ser directamente usados por un atacante para obtener el acceso
a un sistema.
SANS
Lo que más interesa de cara a este trabajo es su clasificación de los 25 principales errores
o problemas de seguridad (weakness), los cuales se encuentran perfectamente
identificados en la lista CWE de MITRE. Todos ellos se pueden dar en aplicaciones web
y entre ellos están los problemas más importantes de las aplicaciones (XSS, SQLI, CSRF,
OPEN REDIRECT, PATH TRANSVERSAL, etc.). En la referencia de SANS se puede
encontrar acceso múltiple a recursos sobre cómo eliminar los errores de esta
categorización SANS TOP 25.
CNI-CCN-CERT
Centro de respuesta ante incidentes de seguridad del Centro criptológico nacional del
centro nacional de inteligencia de España, responsable de la seguridad de los sistemas
en la administración pública española. En su sitio web existe abundante información
sobre vulnerabilidades de seguridad, ataques, herramientas o guías de seguridad de
numerosos entornos y aplicativos.
INCIBE
» Biometrics.
» Computer forensics.
» Computer security.
» Conformance testing.
» Cybersecurity.
» Data mining.
» Data and informatics.
» Health IT.
» Imaging.
» Information delivery systems.
» Networking.
» Scientific computing.
» Software testing metrics.
» Telecommunications/wireless.
2.7. Referencias
Aplication security testing Gertner magic quadrant 2014. Recuperado (01 de mayo de
2018) en, https://info.veracode.com/analyst-report-gartner-mq-appsec-testing-
2018.html
CNN-CERT.CNI. Sitio web del CERT del CCN-CNI. Recuperado (08 de mayo de 2015)
en, https://www.ccn-cert.cni.es/
Fraser, B. (1997). IETF RFC 2196 Site security handbook. Recuperado (4 de febrero de
2016) en, https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-
Esquema_Nacional_de_Seguridad/805-Politica_de_seguridad_del_ENS/805_ENS-
politica_ene-11.pdf
INCEBE. Sitio web del INCIBE. Recuperado (08 de mayo de 2015) en,
https://www.incibe.es/
Mitre CVE. Common vulnerabilities and exposures official site. Recuperado (08 de
mayo de 2015) en, http://cve.mitre.org/
Mitre CWE. Common weakness enumeration. Recuperado (08 de mayo de 2015) en,
https://cwe.mitre.org/
NIST SP 800-53.rev4. (2013). Security and privacy controls for federal information
systems and organizations. Recuperado (8 de mayo de 2015) en,
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf
NIST. (2016). National institute os standars and technology. Recuperado (04 de febrero
de 2016) en, http://csrc.nist.gov/publications/PubsSPs.html
OASIS. Open standars for the information society. Recuperado (08 de mayo de2015)
en, https://www.oasis-open.org/
OISSG. Open information systems security. Recuperado (08 de mayo de 2015) en,
http://www.oissg.org/
Opensamm SSDLC. Open software assurance maturity model official site. Recuperado
(08 de mayo de 2015) en, http://www.opensamm.org/
OWASP CLASP. Project official site. Recuperado (08 de mayo de 2015) en,
https://www.owasp.org/index.php/Category:OWASP_CLASP_Project/es
OWASP. Open web application security project. Recuperado (04 de febrero de 2016) en,
https://www.owasp.org/index.php/Main_Page
OWASP TOP TEN 2013 vulnerabilities. Recuperado (08 de mayo de 2015) en,
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
SANS TOP 25 most dangerous errors. Recuperado (08 de mayo de 2015) en,
https://www.sans.org/top25-software-errors/
WASC. web application security consortium. Recuperado (08 de mayo de 2015) en,
http://www.webappsec.org/
Lo + recomendado
Lecciones magistrales
Seguridad MYSQL
Se presenta una guía específica de seguridad de MYSQL, uno de los gestores de bases
de datos abiertos más extendidos en el mundo, abordando todos los elementos de la
seguridad de un SGBD.
No dejes de leer…
Política de seguridad
Alonso, M., Díaz, G., Mur, F., Peire, J. y Sancristóbal, E. (2004). Seguridad en las
comunicaciones y en la información.Madrid: UNED.
The purpose of this publication is to provide guidelines for selecting and specifying
security controls for organizations and information systems supporting the executive
agencies of the federal government to meet the requiments of FIPS Publication 200,
Minumum security requirements for federal information and information systems.
No dejes de ver…
En este vídeo podrás ver algunos conceptos básicos sobre seguridad de la información.
+ Información
A fondo
BSIMM
Este esquema es el modelo SGSI que sigue la administración pública española. El Real
Decreto 3/2010 de 8 de enero de desarrollo del esquema nacional de seguridad fija los
principios básicos y requisitos mínimos así como las medidas de protección a implantar
en los sistemas de la administración y promueve la elaboración y difusión de guías de
seguridad de las tecnologías de la información y las comunicaciones por parte de CCN
para facilitar un mejor cumplimiento de dichos requisitos mínimos.
ISO 27001
Enlaces relacionados
OWASP
Página del proyecto abierto para seguridad de las aplicaciones web. En su página se
menciona su propósito.
WASC
Página web application security consortium, una organización sin ánimo de lucro
formada por un grupo internacional de expertos profesionales de la industria y
representantes de organizaciones que producen software libre y ampliamente acordados
estándares de seguridad de mejores prácticas para la world wide web.
NIST
Sitio web del National institute of standars and technology reúne amplio conocimiento,
guías, recursos y proyectos sobre la implementación de la seguridad del software de
aplicaciones, sistemas operativos, bases de datos y redes de comunicaciones entre otros.
Bibliografía
ENS, política de seguridad, guía STIC. Recuperado (08 de mayo de 2015) en,
https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-
Esquema_Nacional_de_Seguridad/805-Politica_de_seguridad_del_ENS/805_ENS-
politica_ene-11.pdf
IETF RFC 2196. Site security handbook. Recuperado (08 de mayo de 2015) en,
https://www.ietf.org/rfc/rfc2196.txt
OWASP CLASP project official site. Recuperado (08 de mayo de 2015) en,
https://www.owasp.org/index.php/Category:OWASP_CLASP_Project/es
Security and privacy controls for federal informationsystems and organizations. NIST
SP 800-53.rev4. Recuperado (08 de mayo de 2015) en,
http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf
Test
1. ¿Cuáles son los principios de seguridad en los que debe basarse toda política de
seguridad?
A. Profundidad en la defensa, mínimos privilegios, diversidad de la defensa,
gestión centralizada, sofisticación, identificación de puntos débiles, cierre
completo de accesos ante incidentes.
B. Profundidad en la defensa, mínimos, diversidad de la defensa, gestión delegada
en niveles, simplicidad, identificación de puntos débiles, cierre completo de
accesos ante incidentes.
C. Profundidad en la defensa, mínimos privilegios, diversidad de la defensa,
gestión centralizada, simplicidad, identificación de puntos débiles, cierre completo
de accesos ante incidentes.
D. A y B son correctas.