En este post vamos a revisar cinco aspectos que debes tener en cuenta cuando se habla de ciberseguridad en aplicaciones web, teniendo en cuenta el modelo base: aplicación, servidor web y base de datos.
Estos son los dos tipos de pruebas más comunes que se utilizan para evaluar tanto la seguridad como la calidad del software desarrollado:
Análisis de código dinámico: se le conoce como seguridad DAST (Dynamic Application Security Testing) y es el tipo de pruebas más común que existe. Consiste en buscar vulnerabilides en el funcionamiento del aplicativo. Estas pruebas pueden llegar a incluir en componente de pentesting.
Análisis de código estático: más conocido como SAST (Static Application Security Testing), y se encarga de buscar asuntos relacionados con la calidad y seguridad en el código desarrollado.
A continuación vamos a ver tres tipos de pruebas adicionales que también se deben de tener en cuenta cuando de seguridad se está hablando:
Diseño del aplicativo: Aquí si tiene en cuenta aspectos como: ciclo de vida del aplicativo, segregación de ambientes (mínimo: desarrollo, pruebas y producción), cifrado de datos en operación, cifrado de información en bases de datos, seguridad en usuarios/sesiones/tokens/cookies/db, seguridad en datos para ambiente de pruebas y backup.
Operación: Desempeño del aplicativo y de su plataforma mediante pruebas de carga, las cuales están diseñadas para medir el comportamiento con una carga específica. Las pruebas de estrés buscan encontrar el punto de ruptura del aplicativo, es decir, cuál es la carga máxima que puede llegar a soportar.
Plataforma TI: Finalmente, está la seguridad de la plataforma en donde se encuentra alojado el aplicativo, una vulnerabilidad en el sistema operativo, el servidor web o la base de datos, puede llegar a poner en riesgo la seguridad del aplicativo de forma indirecta.
Debes tener en cuenta que las vulnerabilidades en la plataforma de TI afectan al aplicativo y son difíciles de detectar desde la capa del aplicativo, por lo tanto, lo primero que se recomienda es asegurar esta capa y asignar los permisos adecuados a las personas que los requieran.
Estos son los cinco aspectos que debes tener en cuenta cuando se está hablando de ciberseguridad en aplicaciones web. Un consejo adicional: almacena en otro dispositivo, la trazabilidad de: la aplicación, el servidor web, la base de datos y el sistema operativo, estos datos son importantes para forense, verificaciones de errores, desempeño entro otros.
No hay comentarios:
Publicar un comentario