Empresa fuerte con ciberseguridad

Conozca la actualización más reciente del TOP 10 OWASP para desarrollo seguro de aplicaciones web

El Open Web Application Security Project® (OWASP) es una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software. Dentro de su inventario posee un gran número de aplicaciones orientadas a aumentar la seguridad en el desarrollo, uso y mantenimiento de las aplicaciones.

Uno de los proyectos más emblemáticos es el TOP 10 OWASP, el cual enlista los diez riesgos más críticos para las aplicaciones y servicios web, llamativamente esta semana actualizó su listado, quedando en su versión 2021 con los siguientes riesgos:

A01: 2021 Inadecuado control de acceso (anteriormente A05 OWASP Top 10 2017)
A02: 2021 Fallos criptográficos (anteriormente A03 OWASP Top 10 2017)
A03: 2021 Inyección (anteriormente A01 OWASP Top 10 2017)
A04: 2021 Diseño inseguro (NUEVO)
A05: 2021 Configuración incorrecta de seguridad (anteriormente A06 OWASP Top 10 2017)
A06: 2021 Componentes vulnerables y obsoletos
A07: 2021 Fallos de identificación y autenticación (anteriormente A02 OWASP Top 10 2017)
A08: 2021 Fallos de integridad de datos y software (NUEVO)
A09: 2021 Fallos de seguimiento y registro de seguridad (anteriormente A10 OWASP Top 10 2017)
A10: 2021 Falsificación de solicitudes del lado del servidor (NUEVO)

En el siguiente gráfico puedes ver la evolución de los riesgos desde la versión anterior 2017 hasta la versión actual, la 2021:

Un ítem bastante interesante a tener en cuenta, es la inclusión del riesgo 4, el cual tiene que ver con el diseño inseguro y el apartado 8, fallos de integridad de datos y software, la inclusión de estos dos elementos se alinean con el tema del ciclo de vida del desarrollo de software seguro.

Si desea tener más datos al respecto, por favor visite el sitio web www.owasp.org.

Conoce las cinco clases de controles usadas para tratar los riesgos y mantener segura tu organización

En post anteriores revisamos lo que es un riesgo (Efecto de la incertidumbre sobre los objetivos), en este post vamos a ver cinco clases de controles que se utilizan para tratar los riesgos. Empecemos por definir lo que es un control:

Control: Medida por la que se modifica el riesgo.

Los controles incluyen procesos, políticas, dispositivos, prácticas, entre otras acciones que modifican el riesgo. Otros términos utilizados para referirse a control son: salvaguarda o contramedida.

Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas relevantes. Supone que la amenaza ya se ha materializado, pero que se corrige. Ejemplo: implementación de un sistema de prevención de intrusos IPS.

Control detectivo: Control que detecta la aparición de un riesgo, error, omisión o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige. Ejemplo: implementación de un sistema de detección de intrusos IDS.

Control de acceso: Significa garantizar que el acceso a los activos esté autorizado y restringido según los requisitos comerciales y de seguridad. Ejemplo: implementación de un firewall.

Control disuasorio: Control que reduce la posibilidad de materialización de una amenaza. Ejemplo: carteles acerca de que el cliente está siendo monitoreado por cámara para que desista de su intención.

Control preventivo: Control que evita que se produzca un riesgo, error, omisión o acto deliberado. Impide que una amenaza llegue siquiera a materializarse. Ejemplo: Implementación de un plan de recuperación de desastres DRP.

Estas son las cinco clases de controles usadas para tratar los riesgos junto con un ejemplo de cada una de ellas. Úsalas para tratar los riesgos en tu organización.

Conoce que es un vector de ataque, cuales son los más comunes y para que sirven

En este post vamos a revisar que es un vector de ataque y conoceremos algunos de ellos.

En ciberseguridad, un vector de ataque es un método para conseguir un acceso no autorizado a un objetivo para lanzar un ciberataque.

Los vectores de ataque permiten a los ciberdelincuentes aprovechar las vulnerabilidades de un sistema para acceder a datos sensibles, información personal identificable y otra información valiosa accesible tras una violación de datos.

Los vectores de ataque más comunes son:

Phishing
Malware
Software sin parches
Ransomware
Credenciales débiles
Software desactualizado
Debilidad en el cifrado o encriptación
Debilidad en la configuración del sistema

La mayoría de los ataques que se realizan son con fines lucrativos, sin embargo, algunos de ellos son realizados para revelar información confidencial, dejar sin servicio alguna red o simplemente por el placer de afectar un objetivo.

Consultor en Ciberseguridad.
Mi experiencia en el campo de la ciberseguridad me permite brindar soluciones personalizadas a las empresas. Me esfuerzo por comprender las necesidades únicas de cada cliente y brindar soluciones efectivas y eficientes para proteger sus sistemas y datos. Mi objetivo es ayudar a las empresas a mantenerse seguras en línea y estar preparadas ante cualquier desafío cibernético.

Perfil en LinkedIn
Consultor en Ciberseguridad | Especialista en Gerencia de Proyectos de Sistemas | Especialista en Auditoría de Sistemas | Auditor Líder ISO/IEC 27001 | Lead Cyber Security Manager ISO/IEC 27032 | SFCP | RHCE | CEH | Tenable Certificated since 2016

ITIS / UIS / UAN / URosario