Mapeo de la Seguridad Terreno Aplicación - Primera parte

El número y el tipo de medidas de protección para estas aplicaciones está creciendo. La selección de una solución adecuada gestión de los riesgos de seguridad de aplicaciones debe tener en cuenta las diversas necesidades de la empresa y los factores. No hay una solución única que se ajuste a las necesidades de cada empresa
.

Los responsables de la seguridad de sus entornos necesitan entender qué riesgos están presentes en sus aplicaciones, ya que cada vulnerabilidad tiene una criticidad asociada que se basa en varios factores . Armado con este conocimiento, una estrategia adecuada de gestión de riesgos puede ser desarrollado con la acción prioritaria para reducir estas amenazas.

ASTECH Consulting tiene más de 10 años de experiencia en la evaluación de las aplicaciones de Internet que utilizan métodos manuales y automatizados para ambos "caja blanca" y evaluaciones de "recuadro negro". Hemos desarrollado una gama de niveles de servicio que utilizan estos métodos para que coincida con las necesidades de negocio de nuestros clientes y los requisitos de seguridad.

Entonces, ¿qué es el nivel requerido de evaluación de la seguridad de aplicaciones?

Como los requisitos de seguridad de aplicaciones empresariales se consideran, es útil para ponerlos en el mismo contexto que varios otros programas atributos que solemos tratar con:

La funcionalidad
Usabilidad Rentabilidad del
Confiabilidad
Seguridad

Sin embargo, no podemos hacer frente a las características de nuestras aplicaciones de forma aislada; los consideramos en el contexto de los requerimientos del negocio y los factores de negocio del mundo real, incluyendo viabilidad, financiación, retorno de la inversión, y el costo de oportunidad.

Mientras mejor es siempre deseable, no podemos evaluar lo que es mejor, sin comprender la status quo. Tenemos que responder a la "mejor de lo que?" cuestión. Esto requiere de suficiente análisis /evaluación para identificar una línea de base comparativa

Por ejemplo:. Página de registro boletín de cara al web de una empresa se encuentra que tiene una vulnerabilidad de cross-site scripting. Abordar este riesgo puede requerir $ 20.000 en costos de desarrollo. ¿Es este el mejor uso de los fondos de esta empresa?

En términos teóricos queremos seguridad absoluta. En términos prácticos, queremos un nivel "razonable o mejor" de la seguridad. La definición de "razonable" sólo tiene sentido en el contexto de una aplicación específica y de negocios. La definición puede estar basada en el gobierno (por ejemplo, niveles del Departamento de Defensa de la clasificación), requisitos de grupo de la industria (industria de tarjetas de pago), y dominio del negocio.

El mismo acto de medir la seguridad, el rendimiento o la fiabilidad tiene un coste variable asociada en base a la precisión y el rigor del análisis, las habilidades de los analistas, etc.

Un proceso de evaluación de seguridad de la aplicación es el método de identificación de las vulnerabilidades de seguridad de aplicaciones de modo que la empresa puede tomar decisiones informadas de gestión de riesgos que incluyen la evaluación de los costos financieros y de oportunidad asociados con la mitigación de los riesgos de seguridad identificados. El rigor, la profundidad, y el costo de un proceso de evaluación de la seguridad de aplicaciones debe variar razonablemente con los requerimientos del negocio.

Manténgase en sintonía para la segunda parte, donde vamos a ver qué tipo de riesgo de seguridad para tener en cuenta.
.