OWASP Top Ten 2017 (es)

Próximos pasos para las Organizaciones

 Languages: en de [es]
Comience hoy su programa de seguridad en aplicaciones
La seguridad en las aplicaciones ya no es opcional. Entre el aumento de los ataques y las presiones de cumplimiento normativo, las organizaciones deben establecer un mecanismo eficaz para asegurar sus aplicaciones y APIs. Dado el asombroso número de líneas de código que ya están en producción, muchas organizaciones luchan para conseguir gestionar un enorme volumen de vulnerabilidades.
OWASP recomienda a las organizaciones establecer un programa para aumentar el conocimiento y mejorar la seguridad en todo su catálogo de aplicaciones y APIs. Conseguir un nivel de seguridad adecuado requiere que diversas partes de la organización trabajen juntos de manera eficiente, incluidos los departamentos de seguridad y auditoria, desarrollo, gestión y el negocio. Se requiere que la seguridad sea visible y medible, para que todos los involucrados puedan entender la postura de la organización en cuanto a la seguridad en aplicaciones. También es necesario centrarse en las actividades y resultados que realmente ayuden a mejorar la seguridad de la empresa mediante la reducción de riesgo de la forma más rentable posible. Algunas de las actividades clave en la efectiva aplicación de los programas de seguridad incluyen OWASP SAMM y la Guía OWASP de seguridad de aplicaciones para CISOs que es la fuente para la mayoría de actividades clave en esta lista.

Inicio:

* Documentar todas las aplicaciones y sus activos de información asociados. Las organizaciones grandes deben considerar el uso de una Base de Datos de Gestión de la Configuración (CMDB) para esto.
* Establecer un programa de seguridad de aplicaciones e impulsar su adopción.
* Realizar un análisis de brecha de capacidades entre su organización y otras similares para definir las áreas clave de mejora y un plan de ejecución.
* Obtener la aprobación de la dirección y establecer una campaña de concietización de seguridad en las aplicaciones para toda la organización TI.

Enfoque basado en el catálogo de riesgos:

* Identificar y establecer las necesidades de protección de su catálogo de aplicaciones en base al riesgo inherente asociado al negocio, guiadas por las leyes de privacidad aplicables y otras regulaciones relevantes a los activos de datos a ser protegidos.
* Establecer un modelo de calificación de riesgo común, con un conjunto consistente de factores de impacto y probabilidad, que reflejen la tolerancia al riesgo de la organización.
* Medir y priorizar de forma acorde todas sus aplicaciones y APIs. Agregue los resultados al CMDB.
* Establecer directrices para garantizar y definir los niveles de cobertura y rigor requeridos.

Contar con una base sólida:

* Establecer un conjunto de políticas y estándares enfocado, que proporcione una base de referencia de seguridad de las aplicaciones, a las cuales todo el equipo de desarrollo debe adherirse.
* Definir un conjunto de controles de seguridad reutilizables, que complemente esas políticas y estándares y proporcionen una guía en su uso en el diseño y desarrollo.
* Establecer un currículo de formación en seguridad en aplicaciones que sea un requisito, dirigido a los diferentes roles y tecnologías de desarrollo.

Integrar la Seguridad en los procesos existentes:

* Definir actividades de implementación segura y verificación en los procesos operativos y de desarrollo existentes.
* Definir actividades como el modelado de amenazas, diseño y revisión de seguridad, revisión de código, pruebas de intrusión y remediación.
* Para tener éxito, proporcionar expertos en la materia y servicios de apoyo a los equipos de desarrollo y del proyecto.

Proporcionar visibilidad a la gestión:

* Gestionar a través de las métricas. Manejar las decisiones de mejora y provisión de recursos económicos, basándose en las métricas y el análisis de los datos capturados. Las métricas incluyen el seguimiento de las prácticas y actividades de seguridad, las vulnerabilidades presentes y las mitigadas, la cobertura de la aplicación, densidad de defectos por tipo y cantidad de instancias, etc.
* Analizar los datos de las actividades de implementación y verificación para buscar el origen de la causa y los patrones en las vulnerabilidades, para poder determinar mejoras estratégicas en la organización y el negocio. Aprender de los errores y ofrecer incentivos positivos para promover mejoras.