La Dirección Nacional de Ciberseguridad de la Secretaría de Innovación Pública publicó la “Guía introductoria a la seguridad para el desarrollo de aplicaciones web”. La guía complementa la Decisión Administrativa 641/2021, que estableció los requisitos mínimos de seguridad de la información para el Sector Publico Nacional y está dirigida a quienes llevan adelante funciones de desarrollo de software, así como a responsables de áreas de Sistemas, Tecnología y Seguridad de la Información de este Sector.

La guía aborda todo el ciclo de vida de desarrollo seguro y lo divide en siete etapas, y brinda recomendaciones para cada una de ellas: 

1. Inicio del proyecto: una recomendación destacable de la guía es tener como premisa que la aplicación desarrollada recibirá ataques periódicamente y que algunos de ellos funcionarán. Así, recomienda que el equipo de seguridad participe desde esta etapa. 

2. Análisis de los requerimientos: la guía recomienda identificar aquellos elementos que se deban priorizar por su valor para la organización. Además, establece recomendaciones respecto de los requerimientos de seguridad, requerimientos de privacidad y los requerimientos arbitrarios y sobre la necesidad de establecer prioridades entre ellos.

3. Diseño del sistema: la guía sugiere aplicar los siguientes principios de diseño seguro: 
•    minimización de la superficie de ataque; 
•    diseño para ser mantenido; 
•    identificación del eslabón más débil; 
•    seguridad por defecto; 
•    mantenimiento de la usabilidad; 
•    autorización para todo por defecto; 
•    mínimo privilegio; 
•    separación de responsabilidades y roles; 
•    defensa en profundidad; 
•    insuficiencia de los controles en el cliente; 
•    ayuda a los administradores; 
•    diseños sin secretos; 
•    modelado de amenazas. 

4. Implementación: en esta etapa, es necesario establecer un criterio de rango de erros y fallos, considerando su prioridad y la severidad del defecto que generan. Además, recomienda usar herramientas de control como Git, Subversion, Mercurial y CVS.

5. Prueba: la guía recomienda comenzar las pruebas de seguridad en paralelo con la etapa de desarrollo, y priorizar aquellos componentes que sean los más críticos de la aplicación. Asimismo, recomienda realizar pruebas de penetración, de auditorías manuales de códigos y trae prevenciones para el caso en que las pruebas sean tercerizadas.

6. Puesta en producción: entre las recomendaciones para el despliegue de la aplicación se destacan la segregación de ambientes y el hardenizado de equipos.

7. Mantenimiento: la guía recomienda mantener los niveles de seguridad durante el funcionamiento de la aplicación y sugiere implementar un protocolo de back-up, monitorear periódicamente la seguridad y alertas, ofrecer un canal para el reporte de fallos, errores y vulnerabilidades y considerar la privacidad de los datos almacenadas al momento de descartar la aplicación.

La guía incluye dos Anexos para conocer los tipos de ataques más prevalentes y prevenirlos y aumentar los niveles de seguridad. El primer Anexo contiene una Introducción a OWASP Top Ten, un documento de concientización para desarrolladores y seguridad de aplicaciones web; el segundo, una Introducción a BSIMM (Building Security In Maturity Model), un modelo de madurez que sirve para orientar a una organización que desarrolla software con respecto a las acciones que puede encarar con el fin de hacerlo más seguro. 

Por Gustavo P. Giay, Diego Fernández, Josefina Barbero y Sebastian Filipich