GUÍA DE ISACA DEFINE LAS VULNERABILIDADES Y ESTRATEGIAS DE LA SEGURIDAD DE LAS APLICACIONES WEB

28 de noviembre del 2011 | por Gerardo Zamudio

El uso de aplicaciones Web crece rápidamente debido al gran valor que agregan a las empresas al aportar formas innovadoras de interactuar con los clientes. Sin embargo, los beneficios de estas aplicaciones vienen acompañados de vulnerabilidades para la seguridad que crean riesgos y exposiciones peligrosas. ISACA, una asociación mundial de 95 mil profesionales de la seguridad de TI, dio a conocer un nuevo reporte gratuito titulado Web Application Security: Business and Risk Considerations (Seguridad de las Aplicaciones Web: Consideraciones de Negocio y de Riesgo), que perfila las causas de las vulnerabilidades de las aplicaciones Web, al mismo tiempo que examina el riesgo asociado, su impacto y brinda sugerencias para mitigar el riesgo. La guía aplica a todos los tipos de actividades de desarrollo de software.

Las nuevas aplicaciones Web están basadas en un ambiente cliente-servidor y son independientes de las plataformas, requieren menos poder de cómputo, y pueden integrarse perfectamente con recursos y servicios en línea. Su utilización puede reducir el tiempo y costo de los procesos, mayor número de clientes satisfechos e ingresos más altos. Sin embargo, las vulnerabilidades de las aplicaciones abren la puerta a la explotación de información corporativa sensible, a la interrupción del servicio y al robo de propiedad intelectual. Algunas vulnerabilidades comunes identificadas en el reporte incluyen:

• Inyección de SQL
• Cross-site scripting
• Referencias inseguras de objetos directos
• Fuga de información
• Anti-automatización insuficiente

“Aunque se están reportando cada vez más violaciones en la Web, existe un gran número de ellas que nunca se reportan o ni siquiera se detectan, y muchas empresas no han tomado aún las acciones para resolver las vulnerabilidades”, aseguró Salomón Rico, CISA, CISM, CGEIT, de Deloitte México, y presidente del equipo de desarrollo de este reporte en ISACA. “Las aplicaciones Web deben contar con seguridad integrada en cada paso e ISACA ofrece una guía específica y los pasos detallados para hacerlo”.

El reporte incluye las siguientes estrategias para enfrentar el riesgo de las aplicaciones web:

• Las medidas de seguridad deben ser componentes obligatorios que se incluyan al inicio del proceso de desarrollo.
• Los programadores deben capacitarse en técnicas de codificación seguras.
• Debe existir un proceso robusto de aseguramiento de la calidad para aplicar pruebas de calidad continuas y controladas no sólo de la parte funcional sino de cuestiones de seguridad también
• Las aplicaciones implementadas deben ser monitoreadas continuamente para detectar las vulnerabilidades descubiertas
• Deben tomarse medidas decisivas para resolver las vulnerabilidades encontradas.

“Las empresas pueden aprovechar los diversos beneficios de las aplicaciones Web si tienen un enfoque sistemático”, añadió Rico. “Estas nuevas tecnologías pueden integrarse exitosamente con cuidado, lo que puede crear un mejor valor y reputación; así como un mayor apoyo de la empresa y sus integrantes”.

Seguridad de las Aplicaciones Web: Consideraciones de Negocio y de Riesgo está disponible sin costo a través de www.isaca.org/web-application-security. Puede encontrar una guía adicional de ISACA sobre temas como el cómputo en la nube, el gobierno de los medios sociales y la seguridad de los dispositivos móviles en www.isaca.org/whitepapers.

Etiquetas: , , , ,




Comments are closed.