¿Cuando pensaremos en la seguridad del Software?

La priorización de costos, alcances, tiempos, ux, ui, seo, siempre esta por delante, la seguridad pareciera ser lo que nadie desea abordar en desarrollo de software, me gustaría comenzar este artículo, entendiendo que en el estado del arte de las tecnologías de la información, podemos encontrar un sin fin de gamas , familias de productos para responder, diferentes tipos de problemáticas o software, también en muchos casos, software que no necesariamente necesitamos, pero igual adquirimos por distintos motivos o ideas del negocio.

 

Es ahí donde el rol del oficial de seguridad de la información, debe estar tan cual águila atento a los movimientos que se van dando, si es un software en datacenter propio.

 

Los riesgos de usar software inseguro, no son simplemente que se filtren datos (aunque daño reputacional es el peor), en cientos de casos sistemas inseguros dan acceso a su red corporativa, a ataques laterales a otro servidores, o a centros de control para campañas de distribución de malware de todo tipo, no le baje la importancia, estime bien su criticidad, sepa qué activos tiene.

  • En el caso que adquiera un software para manejar data de su organización, adicionalmente  los aspectos relevantes de seguridad informática que usted debiese considerar son:
  1. ¿Software fue desarrollado bajo un modelo de desarrollo seguro?
  2. ¿Proveedor conoce Safe Code, Owasp SAMM? ¿Si la respuesta es afirmativa, pregunte cual?, ¡no acepte respuestas difusas!
  3. ¿La empresa tiene una política de seguridad vigente?
  4. ¿La empresa  tiene una política de desarrollo seguro vigente?
  5. ¿La empresa tiene una política de confidencialidad y privacidad de la información vigente?
  6. ¿Cómo gestiona los riesgos de seguridad la empresa?

B) Si vamos bien, también sería interesante indagar sobre la ciberseguridad

  1. ¿El sitio tiene HTTPS?
  2. ¿El desarrollo tiene configurado el hardening sobre el servidor?
  3. ¿El desarrollo tiene configurado el hardening sobre la plataforma?
  4. ¿El desarrollo tiene fases de QA documentadas?
  5. ¿El desarrollo tiene apoyo de análisis de vulnerabilidades durante la codificación?
  6. ¿El producto tiene una prueba al menos de vulneración basada en algún estándar internacional?
  7. ¿El proyecto tiene definido versionamiento, despliegue, y gestión de parches?
  8. ¿Cómo se gestionan los días Cero, hay un protocolo en caso de vulneración crítica?
  9. La plataforma tiene al menos un de test de penetración

C) Si es una compra de un servicio en la nube, los aspectos mínimos que usted debiese considerar  en la contratación del servicio son:

  1. Preguntar antes A Y B completos.
  2. ¿Cual es el SLA asociado al servicio?
  3. ¿Existe un tiempo de recuperación tolerable asociado?
  4. ¿Existe un objetivo de recuperación definido?
  5. ¿Existe un acuerdo de no divulgación asociado?
  6. ¿Es un servicio con mesa de ayuda 24x,7, 12×5,8×5?
  7. ¿La mesa de ayuda es robotizada?
  8. ¿Dónde están sus datos?
  9. ¿Al cargar los datos en los servidores de la empresa, siguen siendo de su propiedad?

¿Qué opina usted?

 

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: