Ingeniería en Sistemas de Computación e Informática
DESARROLLO SEGURO DE APLICACIONES Y SERVICIOS WEB Por: YONEL E. MEZA ÁVILA Doknos, Ecuador, Quito. y@doknos.com
I. INTRODUCCIÓN Se refiere al desarrollo de sistemas informáticos libre de riesgos, adicionalmente se presentan algunos parámetros de seguridad basados en la guía de OWASP, donde se aborda desde se la planificación de la arquitectura de seguridad hasta las mejores prácticas en diversos puntos del desarrollo de aplicaciones.
II. DESARROLLO DE CONTENIDOS A. Seguridad “El término seguridad proviene de la palabra securitas del latín. Cotidianamente se puede referir a la seguridad como la ausencia de riesgo o también a la confianza en algo o alguien. Sin embargo, el término puede tomar diversos sentidos según el área o campo a la que haga referencia” (Seguridad, (s.f.)). Cuando se hace referencia a desarrollo de aplicaciones seguras, se refiere a programas o herramientas informáticas libre de riesgo. 1) Atacantes En el desarrollo de aplicaciones se deben tomar como principales atacantes: • D e s ar rol l a d ore s
56
descontentos. • Ataques “Accionados por” como efectos secundarios o consecuencias directas de un virus, o ataque de gusano o troyano. • Atacantes criminales motivados, tales como el crimen organizado. • Atacantes criminales contra tu organización sin motivo, como defacers. • Script kiddies. 2) Niveles de seguridad “La selección de controles sólo es posible después de clasificar los datos a proteger. Por ejemplo, controles aplicables a sistemas de bajo valor tales como blogs y foros son diferentes al nivel y número de controles adecuados para la contabilidad, sistemas de alto valor de banca y comercio electrónico” (OWASP, 2005).
3) Pilares esenciales de la seguridad de la información • Confidencialidad: no todo el mundo tiene permisos para ver la misma información. • Integridad: los datos no pueden ser alterados por usuarios no autorizados, no se falsifican. • Disponibilidad: se debe tener los sistemas y datos disponibles para los usuarios autorizados. B. Arquitectura de seguridad Cuando se empieza una nueva aplicación o se rediseña una aplicación existente, debería considerar lo siguiente: (OWASP, 2009) 1. ¿Los procesos que están alrededor de una característica son seguros? 2. ¿Si fuera un atacante, cómo
resumen Se presentan algunos parámetros de seguridad en aplicaciones web basados en la guía de OWASP, donde se aborda desde la planificación de la arquitectura de seguridad hasta las mejores prácticas en diversos puntos en el desarrollo. Palabras claves: Aplicaciones seguras, Desarrollo de aplicaciones.