La mayoría de las empresas realizan de forma interna
algún tipo de desarrollo para agilizar y optimizar los procesos de
negocio. El problema es que muchas veces no se tiene en cuenta la seguridad en este tipo de aplicaciones. Veamos algunas características del desarrollo seguro de aplicaciones y la importancia de tenerlos en cuenta dentro del análisis de riesgos de la organización.
La premura con que se implementa una nueva solución en las empresas,
para solucionar un problema o implementar un nuevo proceso de negocio
puede tener consecuencias negativas para la seguridad de la información.
La teoría dice que un proceso formal de desarrollo consta de al menos cinco pasos: la recopilación de requisitos, el diseño, la codificación, las pruebas y la implementación; y para que el proceso de desarrollo no se convierta en algo tedioso, hay metodologías ágiles que lo aceleran.
Lo que no hay que perder de vista es que independientemente de la metodología utilizada la seguridad no debe relegarse a un segundo o tercer plano, o dejarse como una tarea pendiente de realizar una vez que la solución esté implementada y todo esté funcionando.
Enfocarse en los posibles puntos de falla
La mejor forma de incorporar la seguridad dentro de nuestros procesos de desarrollo es conocer de antemano donde es más factible que estos fallen,
teniendo en cuenta aspectos como el factor humano, el tipo de
infraestructura con que contamos en nuestra empresa e incluso el grado
de exposición de la misma. Todo esto se logra haciendo un juicioso análisis de riesgos.
Además de los factores, con el análisis de riesgo podremos llegar a identificar aquellas situaciones que con mayor posibilidad puedan
convertirse en un evento de riesgo. Errores de codificación, descuidar
los requisitos de seguridad, falta de pruebas de seguridad,
infraesctructura vulnerable y hasta el uso de librerías o aplicaciones
desactualizadas son algunos de los riesgos que deben revisarse antes de
dar inicio al desarrollo.
Algunas actividades hacia el desarrollo seguro
Como cualquier actividad relacionada con la seguridad de la información, la capacitación a aquellos que están involucrados en los procesos es fundamental.
Así que desde los empleados con los cuales se hacen los levantamientos
de requisitos hasta los desarrolladores deben ser conscientes de las
políticas de seguridad de la empresa y alinear los esfuerzos de acuerdo a
ellas.
Una vez que todos están alineados con lo que necesita la organización, la adopción de buenas prácticas se hace necesaria para lograr que todo funcione correctamente. Realizar unaadecuada documentación tanto de los requisitos como del desarrollo, hacer pruebas funcionales antes de salir a producción y cuidar el versionamiento son actividades que ayudan a obtener aplicaciones con menos vulnerabilidades y por tanto más seguras para la información de la empresa.
Fuente: welivesecurity.com
No hay comentarios:
Publicar un comentario