Se aprueba la Guía introductoria a la seguridad para el desarrollo de aplicaciones WEB
Por Mariano Peruzzotti y Belen Sorrentino.
El día 11 de Noviembre de 2021 se publicó en el Boletín Oficial de la República Argentina la Disposición 8/2021 de la Dirección Nacional de Ciberseguridad de la Jefatura de Gabinete de Ministros (“Disposición”) que aprueba la Guía Introductoria a la Seguridad para el Desarrollo de Aplicaciones Web (“Guía”). La Disposición está destinada a quienes llevan adelante funciones de desarrollo interno de software del Sector Público Nacional así como a aquellos integrantes de la administración pública que subcontraten estos desarrollos a terceros.
La Guía propone distintas recomendaciones en relación a la etapa del proceso en que se encuentra el desarrollo de las aplicaciones Web. El propósito de estos lineamientos se orienta a reducir los esfuerzos de desarrollo y la exposición a vulnerabilidades externas. A continuación, mencionamos algunos de los puntos más importantes de la Guía.
- La Guía prevé un modelo simplificado para seguir a la hora de iniciar un proyecto de software. En esta etapa deben realizarse distintos tipos de análisis dentro de los cuales se encuentran: la asignación de recursos, el análisis del contexto, la definición de responsabilidades, la revisión del marco normativo aplicable.
- A la hora de iniciar un proyecto deben considerarse ciertos aspectos en materia de seguridad informática. A modo de ejemplo, debe considerarse el riesgo de exposición a ataques externos periódicos, la posibilidad de que alguno de ellos tenga éxito, asumir la responsabilidad de proteger su confidencialidad e integridad mediante controles de seguridad y técnicas de desarrollo seguro, entre otras.
- Durante el análisis de requerimientos hay actividades de seguridad que se pueden integrar como, por ejemplo, la clasificación de activos, los requerimientos de seguridad, requerimientos de privacidad y el análisis de riesgo.
- La Guía recomiendo al aplicación de principios de diseño seguro que ayudan a prevenir fallos. Estos son:
- minimizar la superficie de ataque,
- diseñar para ser mantenido/actualizado,
- seguridad por defecto,
- mantener la usabilidad,
- autorización para todo por defecto,
- separación de responsabilidades y roles, entre otros
- En cuanto a la etapa de implementación, la Guía propone variadas consideraciones para incrementar la seguridad como sistemas de control de versiones, seguimientos de errores y fallos, prudencia al confiar en terceros y estandarizar implementaciones, entre otros.
- La Guía ofrece distintos criterios para incrementar la seguridad del código producido. Entre ellos se encuentran validar todas las entradas utilizando librerías de validación de código abierto, codificar apropiadamente todas las salidas mediante controles externos, centralizar las rutinas de control, etc.
- Respecto a los ataques, la Guía enumera los tipos de ataques más frecuentes para ayudar a prevenirlos.
- La Guía propone pruebas de seguridad para verificar si el diseño y la implementación de la aplicación cumplen con los requerimientos de seguridad.
- Una vez verificadas las pruebas de seguridad, deberían tenerse en consideración ciertas prácticas para la puesta en producción de la aplicación. Es menester segregar los ambientes de desarrollo, pruebas y producción. Se deben eliminar componentes innecesarios, activar componentes de seguridad y documentar las configuraciones establecidas para cada componente.
- Para mantener los niveles de seguridad la Guía propone implementar protocolos de Backups, monitoreos periódicos de seguridad y alertas, realizar reportes de incidentes y vulnerabilidades, verificar las actualizaciones de seguridad.
- Por último, al llegar al final de la vida útil de un sistema debe tenerse especial consideración con la privacidad de los datos almacenados ya que en caso de haber migración de la información deben tomarse medidas para evitar que se comprometa la integridad y establecer mecanismos de custodia para garantizar la confidencialidad.
El texto de las Guía puede ser consultado en el siguiente site.
Para más información contactarse con: mperuzzotti@ojambf.com.
