Establecer auditorias continuas de seguridad de las aplicaciones
Construir código de modo seguro es importante. Pero es crítico verificar que la seguridad que pretende construir
está realmente presente, correctamente implementada, y es utilizada en todos los lugares donde se supone que debe
serlo. El objetivo de las pruebas de seguridad es proveer esta evidencia. El trabajo es difícil y complejo, y los procesos
modernos de desarrollo a alta velocidad como Agile y DevOps han colocado una presión extrema en los enfoques y
las herramientas tradicionales. Por lo tanto lo alentamos a pensar en cómo va a enfocarse en lo que es importante
para su portafolio de aplicaciones, y hacerlo efectivo en términos de costo.
Los riesgos modernos cambian rápidamente, así que los días de escanear o hacer un test de penetración a una
aplicación para encontrar vulnerabilidades una vez al año han pasado hace tiempo. El desarrollo moderno de software
requiere revisión continua de seguridad de la aplicación a través de todo el ciclo de vida del desarrollo de software. Se
debe analizar cómo mejorar los canales de desarrollo existentes automatizando la seguridad para que no retrase el
desarrollo. Cualquiera sea el enfoque que elija, considere el costo anual de revisar, clasificar, remediar, revisar de
nuevo, y volver a poner en producción una sola aplicación, multiplicado por la cantidad de aplicaciones.
Comprender el Modelo de las Amenazas:
-
Antes de comenzar la revisión, asegúrese de comprender en qué es importante emplear el tiempo. Las prioridades vienen del Modelado de Amenazas, así que si Ud. no tiene uno, necesita crearlo antes de la revisión.
Considere usar OWASP ASVS y la Guía de pruebas de seguridad OWASP como un insumo y no confíe en vendedores de herramientas para decidir qué es importante para su negocio.
Comprender su SDLC:
-
Su enfoque de la revisión de seguridad de aplicaciones debe ser altamente compatible con las personas, procesos y herramientas que usa en su SDLC. Intentos de forzar pasos, flujos de autorizaciones y revisiones extra probablemente causarán fricción, serán evitados y difíciles de superar. Busque oportunidades naturales para recabar información de seguridad y retroalimente su proceso con ella.
Lograr Cobertura y Precisión:
-
No comience por probarlo todo. Concéntrese en lo que es importante y amplíe su programa de verificación con el tiempo. Esto significa ampliar el conjunto de defensas y riesgos de seguridad que se prueban automáticamente, así como ampliar el conjunto de aplicaciones y APIs que se incluyen en el alcance. El objetivo es lograr un estado en el que la seguridad esencial de todas sus aplicaciones y API se verifique continuamente.
Comunicar los hallazgos claramente:
-
No importa que tan buena sea su revisión, no hará ninguna diferencia a menos que la comunique efectivamente. Construya confianza mostrando que comprende cómo funciona la aplicación. Describa claramente y sin jerga técnica como puede ser abusada e incluya un escenario de ataque para hacerlo real. Haga una estimación realista de qué tan difícil es descubrir una vulnerabilidad y explotarla, y que tan malo podría ser. Finalmente, distribuya los hallazgos en las herramientas de desarrollo que los equipos ya usan, no en archivos PDF.
|