SEGURIDAD INFORMÁTICA Y HACKING ÉTICO

Introducción

Determinadas aplicaciones web se están convirtiendo en un activo crítico en numerosas empresas por la información que procesan y almacenan. Ya no es raro encontrar soluciones ERP, CRM, bussiness inteligence, etc. vía web utilizadas por empresas de todos los tamaños. La seguridad de las mismas es un aspecto fundamental ya que la confianza de los clientes está en juego.
Cuando analizamos la seguridad de una web entendemos el término “seguridad” en un sentido amplio. Analizar la seguridad de una aplicación web implica:

• Comprobar si existen errores en la programación o en la configuración de la misma que permitan a un atacante vulnerar la confidencialidad, integridad, disponibilidad o trazabilidad de los datos.
• Comprobar que el funcionamiento de la aplicación está conforme a los requerimientos definidos por la organización y está alineado con el negocio.
• Comprobar que el procesado y almacenamiento de datos cumple con la legislación y los compromisos contractuales referentes a la aplicación.

En ocasiones un análisis de seguridad se realiza por ser requisito o estar recomendado por otro tipo de normativa, como la ISO 27001. Ésta norma, para quien todavía no la conozca, establece los requerimientos de un sistema de gestión de seguridad de la información (SGSI), y establece distintos controles relacionados con un análisis de seguridad web. Por ejemplo:

• A.6.1.8 Revisión independiente de la seguridad de la información. Si el análisis lo realiza una empresa independiente o un equipo independiente.
• A.10.9.3 Información puesta a disposición pública
• A.12.2.1 Validación de los datos de entrada
• A.12.2.2 Control del procesamiento interno
• A.12.2.3 Integridad de los mensajes
• A.12.2.4 Validación de los datos de salida

¿Por qué analizar la seguridad de una web?

Si proteger la confidencialidad, integridad, disponibilidad y trazabilidad de la información de una aplicación web no parecen suficientes motivos para revisar una aplicación web, pensemos en otros casos:

• Daños a la imagen de la empresa
• Responsabilidad legal, sanciones
• Interrupción del servicio
• Espionaje industrial

Estos argumentos se centran en los beneficios resultantes de evitar daños a la organización, sin embargo, realizar un análisis de seguridad de una aplicación web también ofrece un valor a la empresa que la distingue en el mercado. Realizar análisis periódicos de la seguridad de nuestra aplicación web por una empresa independiente es un buen argumento comercial para diferenciarse de la competencia y dar una seguridad extra a un potencial cliente que todavía tiene dudas.

¿Qué es OWASP y la OWASP Testing Guide?

La Open Web Application Security Project es una organización mundial sin ánimo de lucro que tiene como objetivo mejorar la seguridad del software en general, y especialmente de las aplicaciones web.

OWASP es una entidad independiente que no respalda ni recomienda empresas ni productos comerciales concretos.

La OWASP Testing Guide es un marco de análisis de seguridad web desarrollado y documentado por OWASP. En su guía se diferencian dos partes fundamentales. En la primera parte se habla principalmente de teoría y filosofía del proceso de análisis de seguridad de aplicaciones. Se describen principios, técnicas y métodos básicos que pueden utilizarse durante un análisis de seguridad y se establece qué, cuándo y cómo testear. En la segunda parte se describen 66 controles de seguridad, divididos en 10 categorías.