Seguridad Aplicaciones y Servicios Web (Introducción)

Introducción

El creciente uso de aplicaciones y servicios Web para soportar negocios, redes sociales, servicios financieros, hacen que las vulnerabilidades en esta capa impacten de manera significativa a los usuarios, negocios y sociedad.

Adicionalmente el uso de nuevas tecnologías (IoT, microservicios, cloud, etc) y de metodologías ágiles, hace que la mitigación de riesgos sea más compleja.

Por lo anterior es importante considerar controles de seguridad en todo el ciclo del desarrollo del software para minimizar los riesgos. La validación e implementación de controles de seguridad desde las fases iniciales del ciclo de desarrollo del software hace más eficiente y menos costosa la corrección de errores y vulnerabilidades.

La capa de aplicación regularmente es la más expuesta, ya que por naturaleza está abierta a diferentes usuarios y aplicaciones que acceden para obtener recursos, es por ello que esta capa representa un vector de ataque importante.

75% de los ataques ocurren en la capa de aplicación.

Por otro lado regularmente los programadores están más enfocados al desarrollo de las funcionalidades del sistema y que este cumpla con los requerimientos establecidos, por lo que no se consideran mejores prácticas de seguridad en el ciclo de desarrollo, lo que al final provoca que la aplicación exponga vulnerabilidades o huecos de seguridad en producción que pueden ser explotados por atacantes, impactando los procesos que soporta la aplicación, y la información que se almacena, procesa o transmite. Adicionalmente las aplicaciones están en constante actualización para poder soportar los objetivos del negocio, y utilizando metodologías ágiles o DevOp, por lo que la validación de controles y seguridad también se debe ajustar a estas necesidades.

Por lo anterior es importante considerar al menos los siguientes factores, para mitigar los riesgos de seguridad en el desarrollo de aplicaciones y servicios Web:

  • Tecnología.
  • Personas.
  • Procesos.

Author: GRCbit

contacto@grcbit.com