Conoce lo que debes revisar cuando desarrollas una aplicación web

En este post vamos a hablar acerca del tipo de pruebas que debes realizar cuando desarrollas una aplicación web.

Empezaré por decir que el tema de la seguridad debe ser tenido en cuenta desde el inicio del desarrollo de la aplicación e irá de la mano del desarrollo durante todo el ciclo de vida del software. Aquí vamos a ver cuáles son las principales clase de pruebas que debes tener en cuenta durante el desarrollo.

Las pruebas más comunes son las que generalmente se ejecutan al final del ciclo y son conocidas como pruebas DAST o pruebas dinámicas. Aquí se buscan vulnerabilidades en el software en operación. 

Te recomiendo llevar a cabo pruebas a medida que se desarrollan cada componente operativo para tratar las vulnerabilidades a medida que se desarrollan el software y no dejar esta carga al final donde todo se puede poner más complicado.

La segunda clase de pruebas son las llamadas pruebas SAST o pruebas estáticas. Estas pruebas se realizan al código desarrollado para la operación de la aplicación. Lo más recomendado es tener un software que puedas correr frecuentemente para evidenciar posibles vulnerabilidades a medida que se desarrollan el código. 

Las dos clases de pruebas son importantes, ya que en las pruebas estáticas pueden llegar a no evidenciar todas las vulnerabilidades del aplicativo y lo mismo pasa con las pruebas dinámicas. Recomendación, ejecutas las dos pruebas, DAST y SAST.

La tercera clase de pruebas son dos en una, pruebas de carga y estrés, se mide cuál es el nivel de carga soportada por el aplicativo y cuál es su punto de quiebre, es decir, cuánta carga puede soportar y cuál es la carga máxima antes de quebrarse.

La última clase de pruebas es el análisis de seguridad a la infraestructura, muchas veces el aplicativo desarrollado está bien, pero la infraestructura sobre la cual está desplegada la app es vulnerable, por lo que se ve comprometido el software.

En resumen, prueba el código desarrollado, el aplicativo en operación, el nivel de carga que soporta junto con su punto de quiebre y la infraestructura sobre la cual está desplegado.

Te deseo un desarrollo seguro.

El porque de la ciberseguridad como riesgo número uno en las organizaciones

Hace un tiempo le vengo siguiendo al pista al informe "Risk in focus" de la unión Europea donde anualmente se encuestan a  más de 400 empresas donde se evalúan cuales son los riesgos que más les preocupan a los auditores internos. 

En la siguiente imagen se muestran los resultados de los tres últimos años donde en el primer lugar esta la ciberseguridad y la protección de datos. 

Puedes darle una leída a un resumen es español acá.

Puedes darle una leída al articulo completo en ingles acá. 

Estos datos te pueden apalancar las presentaciones y la solicitud de presupuesto para tus proyectos de ciberseguridad. 

Estas son las cinco acciones que adoptar para mejorar la ciberseguridad en tu organización

El este post vamos a revisar las cinco acciones que debes mejorar para mantener la ciberseguridad estable en tu organización: 

Cambiar las contraseñas con regularidad

Cambiar las contraseñas cada tres meses es lo más recomendado y si puedes implementar un proyecto para trabajar MFA (Múltiple Factor de Autenticación) estarías un paso adelante de los delincuentes.

Conectarse a WIFI público

Conectarse de forma directa a una red pública es un riesgo bastante elevado, si por algún motivo debe hacerlo, le recomiendo protegerse por medio de un software VPN o un dispositivo físico que le permita mantener la información oculta de la red pública en la cual está conectado.

Uso de software obsoleto o pirata

Usar software pirata sale más costoso que pagar por una licencia. A menudo el software pirata proviene de sitios donde previamente le han inoculado su respectivo troyano para tener control de los equipos en los que se instala el software. Una alternativa es utilizar software opensource.

Copia de respaldo o backups

Recuerda que los datos deben tener tres copias en dos medios diferentes, una copia fuera de la organización y otra copia debe estar off line.

Un análisis de vulnerabilidades por mes

Nada más peligroso que estar en riesgo y no saberlo. Ejecute un análisis de vulnerabilidades por mes, es la frecuencia mínima recomendada para mantenerse informado acerca de las últimas vulnerabilidades presentes en la organización. 

Estas son las cinco acciones que debes mantener en el 2022 para tener una ciberseguridad al día en tu organización.

Conoce el ciclo de gestión de vulnerabilidades y consejos para implementarlo

En este post vamos a revisar lo que es el ciclo de gestión de vulnerabilidades el cual se debe ejecutar de forma periódica para tener una gestión adecuada de las vulnerabilidades. 

Empecemos por definir que es una vulnerabilidad:

Vulnerabilidad: Debilidad en el software o en el hardware que le permite a un atacante comprometer la confidencialidad, integridad o disponibilidad del dispositivo que contiene o procesa la información.

Las vulnerabilidades pueden estar presentes en sistemas operativos, bases de datos, aplicaciones, servicios, dispositivos entre otros.

La gestión de vulnerabilidades es un proceso continuo que incluye:

• Identificar: Identificación de activos a los cuales se les va a realizar las pruebas y priorizarlos de acuerdo a su criticidad dentro del negocio.
• Planear: Definir que clase de pruebas se van a ejecutar, si se van a usar con credenciales administrativas, desde donde se van a llevar a cabo, que clase de software se va a utilizar, que métricas se van a llevar.
• Ejecutar: Llevar a cabo el análisis de vulnerabilidades de acuerdo con los datos de las dos fases anteriores.
• Priorizar: Analizar los resultados de la fase anterior, priorizar el cierre de vulnerabilidades de acuerdo con los activos más críticos de la organización y escribir el plan de remediación.
• Remediar: Ejecución del plan de remediación.
• Medir: Comparar los resultados con los obtenidos de ejercicios anteriores o con las mejores prácticas del mercado.  

Estas son recomendaciones para llevar una gestión de vulnerabilidades adecuada para la mayoría de las organizaciones:

• Diseñe un plan de gestión de vulnerabilidades.
• Establezca responsables y tiempos de atención.
• Defina tipos de pruebas, escenarios, métricas.
• Ejecute un análisis de vulnerabilidades por mes.
• Incluya todos los equipos conectados a la organización.
• Para mejores resultados, emplee credenciales administrativas.
• Contrate el servicio o use software y personal especializado. 
• Lleve métricas de seguimiento vulnerabilidades.

Conociendo lo que debe contener un ciclo de gestión de vulnerabilidades y siguiendo las recomendaciones dadas, podrás mantener un programa de gestión de vulnerabilidades que te permita identifica y tratar las vulnerabilidades que puedan llegar a afectar los activos de tu organización. 

Te deseo un año ciberseguro.

Conoce como implementar el teletrabajo sin que esto ponga en riesgo tu organización.

El teletrabajo o trabajo remoto llegó para quedarse, la pandemia aceleró la inclusión de nuevas tecnologías dentro de las organizaciones, algunas de ellas de forma acelerada para tener conectados a sus empleados, pues en el 2022 te comentamos como hacerlo de forma organizada y que debes tener en cuenta para hacerlo. 

Empecemos por separar los dos términos, una cosa es el teletrabajo y otra el trabajo remoto que aunque parecen dos términos iguales cada uno tiene sus propias reglas. Para Colombia, el teletrabajo se encuentra regulado bajo la Ley 1221 de 2008 y el Decreto 884 de 2012; por otra parte, el trabajo en casa o trabajo remoto se encuentra bajo el amparo del Proyecto de Ley 352/20S-429/20C.

Para el caso del teletrabajo el empleador debe:

• Proporcionar los equipos requeridos para el desarrollo de la actividad.
• Pagar el servicio de energía y conectividad que garanticen la conexión del trabajador.
• Afiliarlo a una ARL.

Para el caso del trabajo remoto:

• El empleador no está obligado a suministrar los equipos para conectarse a la empresa.
• El empleado tendrá derecho al pago de auxilio de conectividad cuando clasifique dentro del rango salarial.
• En cuanto a la ARL no está reglamentado.

Desde el punto de vista de ciberseguridad, es todo un reto manejar este tema debido a que cuando esta de por medio el tema con teletrabajo, los equipos pertenecen a la organización, por lo tanto, los estos pueden contener software de administración y gestión remota que les permite a los administradores tener control sobre los equipos.

En cuanto al trabajo remoto, los equipos pertenecen a los empleados y es aquí donde los administradores de TI no tienen control sobre los equipos que se conectan a la red de la organización, teniendo que suministrar acceso a equipos desactualizados, sin antivirus y con posibles troyanos. Equipos desde los cuales puede venir una infección de ransomware que puede llegar a afectar la organización. 

Una posible soluciones es tomar en arriendo el equipo del empleado para poderlo administrar de forma remota, pero cuando es el computador de la familia el que se usa para conectarse esto puede llegar a generar más problemas que soluciones. 

Lo recomendado es revisar la implementación del teletrabajo, es una inversión más grande en equipos y tecnología lo cual le permitirá tener un mayor control sobre los equipos que se conectan a la red de la organización y por ende aumento en la seguridad de la información. 

Colombia está bastante avanzada en normatividad al respecto, el Ministerio de las Tecnologías de la Información y Comunicaciones MinTIC tiene un sitio web destinado completamente a apoyar la implementación de teletrabajo en las empresas. Puede consultar esta información en el siguiente link; https://www.mintic.gov.co/portal/inicio/Sala-de-Prensa/Noticias/126148:Todo-lo-que-se-debe-saber-sobre-el-teletrabajo

El teletrabajo implementado de manera organizada aumenta la productividad y seguridad de las organizaciones. Se deben Implementar herramientas de gestión y control que permitan administrar la ciberseguridad de los equipos. 

Les deseo un feliz año 2022 repleto de ciberseguridad.