IMPLEMENTACIÓN DEdel

Componentes CONTROLES
SGSI DE
CIBERSEGURIDAD
CIS v8
 Índice de Contenidos

• CONTROL 16

Overview

Why is this Control critical?

Procedures and tools

Como cubro este control?

Safeguards

11
 Control 16

Application software security

Seguridad del software de aplicación

22
 Control 16 - Overview

Administre el ciclo de vida de la seguridad del software desarrollado, alojado o adquirido

internamente para prevenir, detectar y remediar las debilidades de seguridad antes de que puedan
afectar a la empresa.

33
 Control 16 – Porque este control es critico

Las aplicaciones proporcionan una interfaz amigable para los humanos que permite a los usuarios
acceder y administrar los datos de una manera alineada con las funciones comerciales.

También minimizan la necesidad de que los usuarios se ocupen directamente de funciones del
sistema complejas (y potencialmente propensas a errores), como iniciar sesión en una base de datos
para insertar o modificar archivos.

Las empresas utilizan aplicaciones para administrar sus datos más confidenciales y controlar el
acceso a los recursos del sistema. Por lo tanto, un atacante puede usar la propia aplicación para
comprometer los datos, en lugar de una elaborada secuencia de piratería del sistema y la red que
intenta eludir los controles y sensores de seguridad de la red. Esta es la razón por la que proteger las
credenciales de usuario (específicamente las credenciales de la aplicación) definidas en CIS Control
6 es tan importante

44
 Control 16 – Porque este control es critico

Al carecer de credenciales, las fallas de la aplicación son el vector de ataque preferido. Sin embargo,
las aplicaciones actuales se desarrollan, operan y mantienen en un entorno altamente complejo,
diverso y dinámico.

Las aplicaciones se ejecutan en múltiples plataformas: web, móvil, nube, etc., con arquitecturas de
aplicaciones que son más complejas que las estructuras heredadas cliente-servidor o base de datos-
servidor web. Los ciclos de vida del desarrollo se han acortado, pasando de meses o años en
metodologías de cascada larga a ciclos de DevOps.

Además, las aplicaciones rara vez se crean desde cero y, a menudo, se "ensamblan" a partir de una
combinación compleja de marcos de desarrollo, bibliotecas, código existente y código nuevo.
También existen normativas de protección de datos modernas y en evolución que se ocupan de la
privacidad del usuario. Estos pueden requerir el cumplimiento de normas regionales o específicas
del sector.

55
 Control 16 – Procedimientos y herramientas

➢ Grupo de desarrollo 1
La empresa se basa en gran medida en paquetes y software estándar o de código abierto (OSS) con
solo la adición ocasional de pequeñas aplicaciones o codificación de sitios web. La empresa es capaz
de aplicar las mejores prácticas operativas y de procedimiento básicas y de administrar la seguridad
de su software proporcionado por el proveedor como resultado de seguir la guía de los Controles
CIS.

➢ Grupo de desarrollo 2
La empresa se basa en algunas aplicaciones de código nativo o web personalizadas (internas o
desarrolladas por un contratista) integradas con componentes de terceros y que se ejecutan en las
instalaciones o en la nube. La empresa tiene un personal de desarrollo que aplica las mejores
prácticas de desarrollo de software. La empresa está atenta a la calidad y mantenimiento del código
abierto o comercial de terceros del que depende.

66
 Control 16 – Procedimientos y herramientas

➢ Grupo de desarrollo 3

La empresa realiza una importante inversión en software personalizado que necesita para
administrar su negocio y atender a sus clientes. Puede alojar software en su propia infraestructura,
en la nube o en ambos, y puede integrar una amplia gama de componentes de software comercial y
de código abierto de terceros. Los proveedores de software y las empresas que ofrecen SaaS deben
considerar el Grupo de desarrollo 3 como un conjunto mínimo de requisitos.

77
 Control 16

88
 Control 16

99
 Control 16

10
10
 GRACIAS
Componentes del SGSI