Cuando se habla de defensa cibernética siempre pensamos en los hackers malos y en aquellos que, al otro lado de la valla, luchan contra ellos. Sin embargo, todo comienza mucho antes.
En particular, para los aspectos de software, todo comienza cuando se diseña e implementa un programa.
El mal diseño, la falta de conocimiento en el campo de la programación segura de software, la ineficiencia en las pruebas y los controles de calidad son el origen de los problemas que enfrentamos cada día en el el ciberespacio. Sin embargo, hay estándares para producir aplicaciones seguras: Proyecto de seguridad de aplicaciones web abiertasEn resumen, OWASP es un estándar para la producción de aplicaciones web seguras y si consideramos que casi todas las aplicaciones ahora son web ...
OWASP es también una organización global que tiene como objetivo mejorar la seguridad del software. La documentación producida por la organización se libera bajo licencia. Creative Commons Reconocimiento-CompartirIgual.
La fundación OWASP ha estado en línea desde el 1 de diciembre de 2001 y es reconocida como una organización. sin fines de lucro Americano a partir del 21 Abril del 2004. La fundación y los colaboradores se adhieren a la regla fundamental de no unirse a ninguna industria tecnológica para mantener intactos su imparcialidad y credibilidad.
OWASP, naturalmente, tiene un fundador: Mark Curphey, que creció en Inglaterra. En 2000 Curpey, después de obtener una maestría en Seguridad de la información, especialización en criptografía, dejó Inglaterra para ir a Estados Unidos, donde comenzó a trabajar para la Sistemas de seguridad de internet, más tarde adquirida por IBM. Fue en esos años que creó OWASP.
Después de varias experiencias en el campo de la seguridad, en 2014, fundó SourceClear Con sede en San Francisco y sigue colaborando en la difusión de OWASP.
Pero ¿por qué es tan importante OWASP?
Owasp es importante porque ahora es un estándar mundial para el desarrollo de software seguro, pero no solo eso, es importante porque hay miles de expertos en seguridad informática que colaboran diariamente en los proyectos OWASP, es importante porque es una colección de las mejores prácticas que se realizan. disponible de forma gratuita, es importante porque entre los muchos proyectos también existe la Academia OWASP que tiene como objetivo difundir el conocimiento sobre el desarrollo de software seguro.
OWASP es un estándar de facto, adoptado por desarrolladores individuales pero también por grandes fabricantes de software. De hecho, siendo un estándar, no hace falta decir que su adopción por parte de una organización se convierte en una parte integral de la estructura de defensa cibernética de la propia organización, esto porque el defensa cibernética No es solo lo que vemos en las películas, lo que podemos llamar "tácticas", sino también lo que no se ve, sino lo que forma parte del contexto, de la "estrategia".
Una organización que produce software, así como una organización cuyos procesos comerciales dependen en gran medida del software utilizado (producido o no por él) también debe prestar atención a los aspectos de política tales como la adopción de OWASP dentro de ella.
La adopción de OWASP u otra norma de seguridad es, por lo tanto, una parte integral de la defensa cibernética corporativo y, como tal, merece la atención de la gerencia. De hecho, es absolutamente inútil realizar inversiones en el sector de la seguridad sin pensar también en política del sector.
Para hacer una comparación estúpida pero comprensible, es como querer filtrar el agua con un tamiz, si necesita eliminar las partículas de un tamaño determinado del agua y mi colador no es efectivo, también puedo comprar un tamiz más grande pero si en la compra no me importa el tamaño de los orificios, probablemente solo habré gastado más dinero en un tamiz más grande, ¡sin haber mejorado el rendimiento!
Aquí, si cuando produce software (o lo compra) no presta atención al estándar de seguridad utilizado en la fase de producción y prueba, deberá configurar una serie de controles de seguridad sucesivos que le permitirán enfrentar los riesgos presentes al gastar una gran cantidad de más de lo que gastaría si observara los aspectos de seguridad del software desde el principio.
Naturalmente, la adopción de un estándar de producción de software seguro no garantiza que no habrá problemas, pero al menos las garantías de los problemas ya conocidos.
Uno de los productos más importantes de OWASP es el Top Ten, una lista de los primeros riesgos de 10 relacionados con aplicaciones web. En su versión inicial, estos fueron los puntos propuestos, hasta la fecha aún bajo observación:
Inyección de A1
Autenticación rota A2 y gestión de sesiones
A3 Scripting entre sitios (XSS)
A4 Control de Acceso Roto
Mala configuración de seguridad de A5
A6 Exposición a datos sensibles
A7 Protección insuficiente contra ataques
Falsificación de solicitud de sitios cruzados (CSRF) de A8
A9 usando componentes con vulnerabilidades conocidas
API subprotegida A10
La lista de 2017, a pesar de ser muy similar a la anterior, ha sido muy debatida principalmente por el punto 7, no considerado por todos como compartido. El caso es que, si bien no es compartido por todos, este puede considerarse como un excelente punto de partida para el estudio de los riesgos presentes en el mundo de aplicación web.
Para obtener más información:
- https://www.owasp.org
- https://www.sourceclear.com
- http://www.cert.org/secure-coding/standards/index.cfm
- https://2017.appsecusa.org/
