Preguntas Frecuentes (FAQ)
- Onesait Platform
- 1 ¿Qué es exactamente una Vulnerabilidad / Amenaza / Riesgo?
- 2 ¿Cuales son los principios básicos de Seguridad?
- 3 ¿Existe alguna guía rápida de Desarrollo Seguro?
- 4 ¿Cómo puedo validar los datos de entrada correctamente en Spring?
- 5 ¿Qué normativas debo conocer?
- 6 ¿Cuáles son los estándares de Seguridad de la Organización?
- 7 ¿Que es OpenSAMM?
- 8 ¿Qué puedo hacer? ¿Qué NO puedo hacer?
¿Qué es exactamente una Vulnerabilidad / Amenaza / Riesgo?
Esta es la diferencia:
Vulnerabilidad: es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible. Estos «agujeros» pueden tener distintos orígenes por ejemplo: fallos de diseño, errores de configuración o carencias de procedimientos.
Amenaza: es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información. Es decir, que podría tener un potencial efecto negativo sobre algún elemento de nuestros sistemas. Las amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o negligencia y decisiones institucionales (mal manejo de contraseñas, no usar cifrado). Desde el punto de vista de una organización pueden ser tanto internas como externas.
Riesgo: es la probabilidad de que se produzca un incidente de seguridad, materializándose una amenaza y causando pérdidas o daños. Se mide asumiendo que existe una cierta vulnerabilidad frente a una determinada amenaza, como puede ser un hacker, un ataque de denegación de servicios, un virus… El riesgo depende entonces de los siguientes factores: la probabilidad de que la amenaza se materialice aprovechando una vulnerabilidad y produciendo un daño o impacto. El producto de estos factores representa el riesgo.
Si quieres conocer más consulta nuestra referencia.
https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-diferencian
¿Cuales son los principios básicos de Seguridad?
Los principios básicos de la Seguridad son:
Autenticación
Autorización
Confidencialidad
Integridad
Disponibilidad
Auditabilidad
Si quieres conocer más consulta nuestra referencia.
¿Existe alguna guía rápida de Desarrollo Seguro?
Afortunadamente existe y se sigue desarrollando material actualizado cada pocas revisiones. Te recomendamos que eches un vistazo a las guías rápidas y de buenas prácticas para que tener conceptos base en Desarrollo Seguro, ya que se tratan los puntos clave que se deben llevar a cabo en cualquier desarrollo de producto en la organización.
Si quieres conocer más consulta nuestra referencia.
Patrones de diseño seguro, frameworks de seguridad en lenguajes
¿Cómo puedo validar los datos de entrada correctamente en Spring?
En este caso, Spring cuenta con un sistema de anotaciones para realizar esta labor pero debe hacerse un uso correcto de las mismas.
¿Qué normativas debo conocer?
Pues es hay normativa muy variada, ya que una parte sería más general y otra más especifica de la funcionalidad del Producto. Por ejemplo, los Productos financieros tienen normativa adicional.
¿Cuáles son los estándares de Seguridad de la Organización?
En la organización se estandarizado un sistema de categorización de las vulnerabilidades y su criticidad en función de unos riesgos.
Para ello se ha utilizado:
OWASP: La organización Open Web Application Security Project publica un listado de los 10 tipos de vulnerabilidades más comunes en el sector. Esto permite a las organizaciones hacer especial foco en estos problemas, aportando a su vez información relevante para mitigar de la manera más efectiva.
MITRE: Esta organización creo un listado de tipos de vulnerabilidades, de tal manera que están perfectamente clasificadas (tanto Software como Hardware) y se utilizan como estándar de denominación de las mismas. Su nombre es Common Weakness Enumeration (CWE).
¿Que es OpenSAMM?
El modelo se fundamenta en desarrollar el software de acuerdo a las funciones críticas del negocio y cuenta con 3 niveles de madurez definidos a través de sus prácticas de seguridad. Estas prácticas determinan una variedad de actividades que deben ser implementadas en la organización para reducir los riesgos de seguridad e incrementar el aseguramiento del software.
El modelo SAMM fue diseñado para ser flexible, de tal manera que puede ser adoptado por cualquier tamaño de organización y fue construido bajo los siguientes principios:
Cambios paulatinos en la organización: Un programa de seguridad exitoso deben ser implementado en pequeñas iteraciones, lo cual permitirá producir entregables tangibles y de valor para la organización en el corto plazo, los cuales se pueden ir incrementando para el logro de metas a largo plazo.
Iteraciones y revisiones del marco en la organización: Un marco de trabajo de seguridad de software debe ser flexible y permitir poner en marcha los controles necesarios basándose en el nivel de riesgo de la organización.
Establecimiento de una directriz de seguridad: Las actividades de un programa de aseguramiento deben estar bien definidas, ser prácticas y medibles.
¿Qué puedo hacer? ¿Qué NO puedo hacer?
Tipo | Acción | ¿Qué NO puedo hacer? | ¿Qué puedo hacer? |
|---|---|---|---|
DATABASE | Utilizar datos reales en el entorno de Desarrollo | Utilizar datos reales en Desarrollo | Utilizar datos anonimizados en entornos no productivos |
DEVELOP | Añadir una librería | Añadir una librería no validad o homologada | Solicitar el uso de esa librería |
DEVELOP | Utilizar una tecnología no recogida en ningún marco | No se puede utilizar sin verificar que esta libre de vulnerabilidades conocidas, para ello puede verificarse de manera manual o automática. | Usarla siempre que se verifique que esta libre de vulnerabilidades conocidas o solicitar un servicio de asesoría al área de Seguridad |