Documentos de Académico
Documentos de Profesional
Documentos de Cultura
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
Historial de Versiones
FECHA: 14/02/2024
FECHA: 14/02/2024
CONTENIDO
1. OBJETIVO........................................................................................................ 4
2. ALCANCE.........................................................................................................4
3. DEFINICIÓN DE ROLES..................................................................................4
9. SEGURIDAD EN EL AMBIENTE....................................................................11
11. ANEXOS......................................................................................................... 29
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
1. OBJETIVO
Definir un estándar de desarrollo seguro que mitigue los riesgos más conocidos de las aplicaciones WEB/
Cliente - Servidor basado en las buenas prácticas definidas en Owasp Top 10 y Sans Top 25.
2. ALCANCE.
El documento estándar de desarrollo seguro cubre las recomendaciones de seguridad que se puede aplicar durante
el ciclo de vida de desarrollo, en el proceso revisión de código seguro y en la publicación a ambiente productivo
de las aplicaciones.
Igualmente presenta las vulnerabilidades más comunes en las aplicaciones, su mecanismo de explotación y
remediación.
3. DEFINICIÓN DE ROLES
Proveedor: Proveedores de servicios de Software o fábricas del ciclo de vida de software, contratado por
Softenergy para participar en creación o modificaciones de aplicaciones Web/Cliente – Servidor.
A partir de la siguiente sección, se presentan las recomendaciones de seguridad que se puede aplicar durante el
ciclo de vida de desarrollo de las aplicaciones de softenergy.
Integración de Seguridad desde el Inicio: Integrar prácticas de seguridad desde las primeras etapas del
desarrollo, incluyendo la definición de requerimientos y diseño. Esto puede incluir la realización de análisis de
riesgos y amenazas, así como la especificación de controles de seguridad que se deben implementar.
Revisión de Código y Pruebas de Seguridad: Realizar revisiones periódicas del código en busca de
vulnerabilidades y ejecutar pruebas de seguridad, tanto estáticas como dinámicas, para identificar y remediar
problemas de seguridad antes de que el software llegue a producción.
Gestión de Dependencias: Mantener todas las bibliotecas y dependencias del proyecto actualizadas y aplicar
rápidamente los parches de seguridad necesarios. Esto también incluye revisar regularmente el código en
busca de cualquier componente obsoleto o inseguro.
FECHA: 14/02/2024
infraestructura de la aplicación.
5. AMENAZAS DE SEGURIDAD.
Las amenazas que se pueden presentar durante cualquier proyecto de software pueden ser los siguientes:
Inyección de código: como SQL injecion, permite a los atacantes manipular las consultas de la base de
datos
Cross-Site Scripting (xss): donde los atacantes inyectan scripts maliciosos en el contenido de
páginas web vistas por otros usuarios.
Fuga de información y exposición de datos sensibles: donde datos confidenciales son accesibles debido a falta
de cifrado o políticas de seguridad inadecuadas.
Ruptura de autenticación y gestión de sesiones: que permite a los atacantes secuestrar sesiones de usuario o
robar credenciales de identidad.
Cross-Site Request Forgery (CSRF): que engaña a un navegador de un usuario para ejecutar acciones no
deseadas en una aplicación web en la que están autenticados.
Componentes vulnerables: como bibliotecas y frameworks desactualizados que pueden ser explotados por
atacantes.
Riesgos asociados al almacenamiento inseguro de contraseñas: lo que facilita ataques de fuerza bruta o
adivinación de contraseñas.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
fácilmente puede identificar y registrar los riegos en la matriz de riesgos de la metodología definida por Softenergy
6. ESTÁNDARES Y REQUERIMIENTOS DE SEGURIDAD.
a) Autenticación y contraseñas
b) Autorización
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
c) Manejo de sesiones
FECHA: 14/02/2024
d) Logs y Auditoría
- Generación de Logs:
Generar logs de eventos significativos de seguridad, errores, y transacciones críticas del sistema,
incluyendo intentos de acceso, cambios de configuración, y acciones de usuarios administrativos.
- Protección de Logs:
Asegurar la integridad y confidencialidad de los logs mediante mecanismos de control de acceso, cifrado
en reposo y durante la transmisión, y almacenamiento seguro.
- Auditoría Regular:
Realizar auditorías regulares de los logs para identificar patrones inusuales o indicadores de compromiso,
así como para verificar el cumplimiento de políticas de seguridad.
- Registro de Errores:
Registrar los detalles técnicos de los errores en archivos o sistemas de logs seguros,
accesibles solo para personal autorizado, para facilitar el análisis y la resolución de problemas
sin comprometer la seguridad.
- Notificación de Errores:
En caso de errores críticos o vulnerabilidades detectadas, establecer procedimientos para
notificar a los administradores o a equipos de seguridad de manera inmediata.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
- Validación de Entrada:
Prevenir errores y vulnerabilidades relacionadas con el manejo incorrecto de las entradas de
usuario mediante la validación estricta de datos en todos los puntos de entrada.
- Pruebas de Excepciones:
Incluir pruebas específicas para manejo de excepciones en el ciclo de desarrollo de software,
asegurando que las aplicaciones manejen de manera adecuada situaciones inesperadas o
entradas inválidas.
f) Tablas de trabajo
-Segmentación y Priorización:
Organizar las tareas en categorías o niveles de prioridad basados en la severidad, impacto y
urgencia de las vulnerabilidades o problemas de seguridad identificados.
-Roles y Responsabilidades:
Definir claramente los roles y responsabilidades dentro del equipo de desarrollo y seguridad para
cada tipo de tarea en la Tabla de Trabajo, asegurando una asignación y seguimiento efectivos.
-Revisión y Aprendizaje:
Incorporar procesos de revisión periódica de las Tablas de Trabajo para identificar lecciones
aprendidas, optimizar flujos de trabajo y mejorar las prácticas de seguridad continuamente.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
7.1 Objetivos
Garantizar que la seguridad esté integrada desde el inicio del proceso de diseño de sistemas y aplicaciones.
Identificar y mitigar riesgos de seguridad potenciales en las fases tempranas de diseño para minimiza
vulnerabilidades.
Principio de Menor Privilegio: Asegurar que los sistemas y aplicaciones operen con los mínimos privilegios
necesarios para su funcionamiento.
Defensa en Profundidad: Implementar múltiples capas de defensa para proteger los sistemas y datos contra
ataques.
Segregación de Entornos: Diferenciar entre entornos de desarrollo, prueba y producción para reducir riesgos.
Seguridad por Diseño: Incorporar consideraciones de seguridad en el proceso de diseño y desarrollo desde el
principio.
Manejo de Sesiones:
Implementar prácticas seguras para la creación, gestión y terminación de sesiones de usuario.
Encriptación de Datos:
Utilizar estándares de encriptación para proteger datos sensibles en tránsito y en reposo.
Gestión de Configuraciones:
Asegurar que las configuraciones de sistemas y aplicaciones sean seguras y estén alineadas con las mejores
prácticas de seguridad.
Auditoría y Monitoreo:
Desarrollar capacidades para registrar y monitorear eventos de seguridad relevantes.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
Evaluación de Riesgos:
Realizar análisis de riesgos para identificar y evaluar amenazas potenciales a la seguridad en la arquitectura
propuesta.
Revisión de Código:
Incluir revisiones de código enfocadas en seguridad para identificar vulnerabilidades y malas prácticas en el
desarrollo.
Pruebas de Seguridad:
Ejecutar pruebas de penetración y otras pruebas de seguridad para validar la eficacia de las medidas de seguridad
implementadas.
Formación y Conciencia:
Educar al equipo de desarrollo sobre principios y prácticas de seguridad a través de formación continua.
Respuesta a Incidentes:
Establecer un plan de respuesta ante incidentes de seguridad que permita actuar de manera rápida y eficaz ante
posibles brechas.
La arquitectura de seguridad y la revisión de diseño deben ser procesos iterativos que se adapten a los cambios en
los requisitos del proyecto y al panorama de amenazas emergentes.
Es esencial mantener una colaboración estrecha entre los equipos de desarrollo, seguridad y operaciones para
asegurar que las prácticas de seguridad se implementen de manera efectiva y coherente a lo largo del ciclo de
vida del desarrollo de software.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
Objetivos:
Asegurar que el código desarrollado no contenga vulnerabilidades de seguridad mediante la revisión sistemática del mismo.
Metodologías:
Revisiones Manuales:
Realización de inspecciones de código por parte de expertos en seguridad que buscan patrones de diseño inseguros y prácticas de
codificación vulnerables.
Prácticas Recomendadas:
Integrar la revisión de seguridad del código en el ciclo de desarrollo de software desde las etapas iniciales.
Capacitar a los desarrolladores en principios de codificación segura y revisión de código.
Objetivos:
Verificar la efectividad de las medidas de seguridad implementadas y la resistencia del software ante ataques maliciosos.
Tipos de Pruebas:
Prácticas Recomendadas:
Realizar pruebas de seguridad en todas las fases del ciclo de vida del desarrollo de software.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
Objetivos:
Identificar, clasificar, remediar y mitigar vulnerabilidades de seguridad de manera eficaz.
Proceso:
Identificación de Vulnerabilidades:
Uso de herramientas de escaneo de vulnerabilidades y servicios de inteligencia de amenazas para detectar riesgos potenciales.
Evaluación y Priorización:
Clasificación de vulnerabilidades basada en su gravedad, impacto y la probabilidad de explotación.
Remediación:
Implementación de correcciones o mitigaciones para las vulnerabilidades identificadas, incluyendo parches, actualizaciones o
cambios en la configuración.
Verificación:
Realización de pruebas posteriores a la remediación para asegurar que las vulnerabilidades han sido efectivamente corregidas.
Prácticas Recomendadas:
Establecer un proceso de gestión de vulnerabilidades continuo y proactivo.
Mantener una comunicación efectiva entre los equipos de seguridad, desarrollo y operaciones para garantizar una rápida
respuesta ante vulnerabilidades.
La seguridad del software es un proceso continuo que requiere atención constante y esfuerzos coordinados a lo largo de todo el
ciclo de vida del desarrollo.
La implementación de prácticas rigurosas de revisión de código seguro, pruebas de seguridad y gestión de vulnerabilidades es
fundamental para minimizar los riesgos de seguridad y proteger los activos de información contra amenazas emergentes.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
9. SEGURIDAD EN EL AMBIENTE.
8.1 Objetivo
Establecer medidas de seguridad robustas para proteger los entornos de desarrollo, prueba y producción, asegurando que los
sistemas y datos estén resguardados contra accesos no autorizados, pérdida o daño.
Control de Acceso:
Restringir el acceso a los entornos de desarrollo y prueba solo al personal autorizado para reducir el riesgo de exposición
accidental o malintencionada.
Segregación de Entornos:
Mantener una clara separación entre los entornos de desarrollo, prueba y producción para evitar la contaminación de datos y la
propagación de vulnerabilidades.
Datos de Prueba:
Utilizar datos anónimos o sintéticos para las pruebas, evitando el uso de información real que pueda ser sensible o regulada.
Hardening de Sistemas:
Aplicar técnicas de hardening para fortalecer los sistemas contra ataques, eliminando servicios innecesarios, cerrando puertos no
utilizados y aplicando las últimas actualizaciones de seguridad.
Cifrado de Datos:
Asegurar que los datos sensibles estén cifrados en tránsito y en reposo para proteger contra el acceso no autorizado y las brechas
de datos.
Respaldo y Recuperación:
Establecer políticas y procedimientos de respaldo y recuperación para asegurar la disponibilidad y la integridad de los datos en
caso de un incidente de seguridad o fallo del sistema.
FECHA: 14/02/2024
Evaluación Continua:
Realizar evaluaciones periódicas de vulnerabilidades en los entornos de producción para identificar y remediar riesgos de
seguridad de manera oportuna.
Aplicación de Parches:
Mantener un programa de gestión de parches para aplicar actualizaciones de seguridad a sistemas operativos, aplicaciones y otros
componentes críticos de la infraestructura.
Educación Continua:
Fomentar programas de formación y concienciación en seguridad para el personal de TI y usuarios finales, promoviendo buenas
prácticas y una cultura de seguridad.
Requiere un enfoque holístico que abarque tanto las medidas técnicas como las prácticas organizativas para proteger contra una
amplia gama de amenazas.
La implementación efectiva de las directrices mencionadas ayudará a asegurar la integridad, confidencialidad y disponibilidad de
los sistemas y datos en todos los entornos operativos.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
para evitar ataques de Cross-site Scripting (XSS). Esta función convierte caracteres especiales en
entidades HTML, lo que impide que los atacantes inyecten código HTML o JavaScript malicioso en tu
página web.
Para prevenir ataques de denegación de servicio (DoS), puedes limitar el número de solicitudes que un
usuario puede hacer en un período de tiempo determinado. PHP no tiene una funcionalidad incorporada
para esto, pero puedes implementarlo a nivel de servidor (por ejemplo, con iptables o fail2ban en un
servidor Linux) o utilizando un servicio de protección contra DDoS.
FECHA: 14/02/2024
En PHP se pueden utilizar consultas preparadas para evitar la inyección SQL. Las consultas preparadas
separan la consulta SQL de los datos, lo que impide que los atacantes manipulen la consulta para acceder
o modificar datos no autorizados.
la función htmlspecialchars se usa para evitar ataques de Cross-site Scripting (XSS). Esta función
convierte caracteres especiales en entidades HTML, lo que impide que los atacantes inyecten código
HTML o JavaScript malicioso en tu página web.
FECHA: 14/02/2024
utilizar la función realpath es necesario para resolver rutas relativas y evitar ataques de Path Traversal.
Esta función devuelve la ruta absoluta, lo que impide que los atacantes accedan a archivos o directorios
fuera del directorio previsto.
para este punto necesitaremos utilizar sesiones para manejar la autenticación y la gestión de sesiones.
Asegúrando de regenerar el ID de la sesión después de que un usuario inicie sesión para prevenir ataques
de fijación de sesión
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
se pueden utilizar tokens CSRF para prevenir ataques de Cross-Site Request Forgery. Un token CSRF es
un valor único y aleatorio que se genera para cada formulario y se verifica cuando se envía el formulario.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
(OWASP A10)
En este tipo de norma se deben validar todas las redirecciones y reenvíos para asegurarte de que solo se
permiten URLS seguras y confiables. Nunca debes permitir que los usuarios proporcionen la URL de
redirección directamente.
11. ANEXOS
Modelamiento de amenazas es una técnica de la ingeniería cuyo objetivo es identificar y planificar la mejora con
el fin de mitigar la amenaza en un sistema informático o una aplicación.
Es un escenario que debería iniciarse desde la primera etapa de desarrollo y planificación de un sistema.
Es un proceso que nos facilita el entendimiento de las amenazas a las que esta expuestas las aplicaciones.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
Su finalidad es preparar las defensas adecuadas durante las fases de diseño, implementación y también durante
su posterior revisión y testeo.
INICIO
Un activo es información valiosa de la empresa que contiene la aplicación a analizar. El proveedor debe
identificar los activos información que contiene la aplicación como por ejemplo: Datos personales, datos de los
clientes, datos de los usuarios, venta de los clientes, compra de los proveedores, información del afiliado, entre
otros.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
Descomponer la aplicación.
Identificar los puntos de entrada y puntos de salida por cada uno de los activos de información identificados de la
aplicación, como por ejemplo: Los datos del cliente tiene como punto entrada el formulario de registro del cliente
y como salida un reporte de la información registrada del cliente.
Para la categorización amenazas se debe primero identificar las amenazas que puede ocurrir con estos datos
(Recomendación ver OWASP Top 10 para aplicaciones web) y después se categoriza cada una de las amenazas
con la metodología STRIDE en la cual su acrónimo se resume en seis categorías que son las siguientes:
Se debe categorizar cada amenaza en una o varias categorías dependen de la aplicación a analizar de metodología
STRIDE, como por ejemplo si tiene una amenaza de inyección de comandos de SQL se puede categorizar en
suplantación, manipulación, repudio, elevación información y elevación de privilegios. A continuación se muestra
otro ejemplo con varias amenazas categorizadas.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
AMENAZAS S T R I D E
Inyección de Comandos SQL x x x
Robar las Credenciales de los Usuarios x x x x
Ataques de cross-site Scripting(Xss) x x x x x
Ataques de objetos inseguros x x x x
Exposición de Datos Sensibles x x x x x
Crear peticiones de HTTP Falsificadas x x x x x
Escaneo de Componentes Vulnerables x x x x x
Redirecciones no validas x x x x x
Para asignar un valor a cada amenaza se puede utilizar la metodología Dread con la siguiente puntación:
Puntuación Alto(3) Medio(2) Bajo(1)
D Daño potencial El atacante podría ejecutar Divulgación de información Divulgación de
aplicaciones con sensible información
permiso de administrador; trivial
subir contenido.
R Reproducibilidad El ataque es fácilmente El ataque se podría Ataque difícil de
reproducible reproducir, pero sólo en reproducir, incluso
condiciones muy concretas, conociendo la naturaleza
ejemplo: condición de del Fallo.
Carrera.
FECHA: 14/02/2024
Para el uso metodología Dread se muestra siguiente ejemplo: se tiene amenaza de inyección de comandos de SQL
con la siguiente puntación:
La metodología también dice que la sumatoria de la puntación se considera en un riesgo alto cuando da 12 a 15,
riesgo medio cuando da entre rango de 8 a 11 y riesgo bajo cuando da entre rango de 5 a
7. Por ejemplo en el cuadro anterior se muestra que la amenaza de Inyección de comandos de SQL contiene
puntuación de 14 lo cual es un riesgo alto para la aplicación.
Después de realizar la puntación de la amenaza con la metodología Dread, para identificar como remediar el
riesgo alto se utiliza el siguiente cuadro, lo cual se representa con un ejemplo:
Identificar las técnicas y tecnologías necesarias para mitigar los riesgos identificados. (Se recomienda ver las
contramedidas que da el Owasp Top 10 para aplicaciones web o las que presenta en este documento de Estándar
de desarrollo Seguro).
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
AMENAZAS DE SEGURIDAD
El proveedor aplicó y entregó a EMPRESA toda la documentación sobre el
modelamiento de amenazas definido en el documento de Estándar Desarrollo
Seguro.
FECHA: 14/02/2024
FECHA: 14/02/2024
SEGURIDAD EN AMBIENTE.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
La aplicación verifica que solo este permitido él cargue de documentos con extensiones
específicas, como por ejemplo: .pdf, .xls,.doc,.txt, etc.
La aplicación valida la cantidad de registros que se pueden cargar en un archivo.
La aplicación guardar los archivos que son cargados en un servidor seguro que solo
tenga permisos de lectura.
La aplicación utiliza índices que internamente se asocien a directorios o rutas pre
definidas. Se recomienda no usar rutas específicas para subir o descargar archivos.
ANEXO 3. GLOSARIO.
Algoritmo AES: AES conocida como Estándar de ciframiento Avanzada (Advanced Encryption Standard). AES
es una técnica de cifrado de clave simétrica que remplazará el Estándar de Cifrado de Datos (DES) utilizado
habitualmente.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
El algoritmo ganador, Rijndael, fue desarrollado por dos criptologistas Belgas, Vincent Rijmen y Joan Daemen.
AES proporciona una ciframiento seguro y ha sido elegida por NIST como un Estándar de Proceso de Información
Federal en Noviembre del 2001 (FIPS-197), y en Junio del 2003 el Gobierno de EEUU (NSA) anunció que AES
es lo suficientemente seguro para proteger la información clasificada hasta el nivel ALTO SECRETO, que es el
nivel más alto de seguridad y que se definen como información que pudiera causar "daños excepcionalmente
graves" a la seguridad nacional en caso de ser divulgada al público.
El algoritmo AES utiliza longitudes de ciframiento de 128-, 192-, o 256- bits. Cada tamaño de la clave de cifrado
hace que el algoritmo se comporte ligeramente diferente, por lo que el aumento de tamaño de clave no sólo ofrece
un mayor número de bits con el que se pueden cifrar los datos, sino también aumentar la complejidad del
algoritmo de cifrado.
Algoritmos HASH: Los algoritmos HASH, parten de una información de entrada de longitud indeterminada y
obtienen como salida un código, que en cierto modo se puede considerar único para cada entrada. La función de
estos algoritmos es determinista, es decir que partiendo de una misma entrada siempre se obtiene la misma salida.
Sin embargo, el interés de estos algoritmos reside en que partiendo de entradas distintas se obtienen salidas
distintas.
Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la
organización. [ISO 27001:2013]
Bcrypt: Es un hash que puede ser utilizado para guardar contraseñas utilizando el algoritmo BlowFish de una
sola vía. Las razones por utilizar el Bcrypt es que es muy lento para descifrar, lo cual evita los ataques de fuerza
bruta y su longitud es de 64 bits.
BlowFish: Es un codificador de bloque simétricos, diseñado por Bruce Schneider en 1993 e incluido en un gran
número de conjuntos de codificadores y productos de cifrado. No se han encontrado técnicas de criptoanálisis
efectivas contra el BlowFish. BlowFish usa bloques de 64 bits y claves que van desde los 32 bits hasta 448 bits.
Ciframiento: El ciframiento es el proceso de cambiar los datos de forma que solo puedan ser leídos por el
receptor al que va destinado. Para descifrar el mensaje, el destinatario debe tener la clave para descifrar el mensaje
Ciframiento con clave simétrica: Se incluyen en esta familia el conjunto de algoritmos diseñados para cifrar
un mensaje utilizando una única clave conocida por los dos interlocutores, de manera que el documento cifrado
sólo pueda descifrarse conociendo dicha clave secreta. Algunas de las características más destacadas de este tipo
de algoritmos son las siguientes:
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
A partir del mensaje cifrado no se puede obtener el mensaje original ni la clave que se ha utilizado,
aunque se conozcan todos los detalles del algoritmo cifrado utilizado.
Se utiliza la misma clave para cifrar el mensaje original que para descifrar el mensaje codificado.
Emisor y receptor deben haber acordado una clave común por medio de un canal de comunicación
confidencial antes de poder intercambiar información confidencial por un canal de comunicación
inseguro.
Los algoritmos simétricos más conocidos son: DES, 3DES, RC2, RC4, RC5, IDEA, BlowFish y AE
Confidencialidad: La propiedad de la información, por la que se garantiza que está accesible únicamente a
personal autorizado a acceder a dicha información.
FIPS 140-2: Es un estándar de seguridad de ordenadores del gobierno de los Estados Unidos para la acreditación
de módulos criptográficos, su título original son requerimientos de seguridad para módulos criptográficos. Se
referencia el siguiente link: http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf
Integridad: Es la propiedad el mantener con exactitud la información tal cual fue generada, sin ser manipulada o
alterada por personas o procesos no autorizado.
Metodología DREAD: Una vez que tenemos identificada la lista de amenazas, el siguiente paso consiste en
puntuarlas de acuerdo al riesgo que suponen. Esto nos permitirá priorizar las actuaciones a efectuar para mitigar el
riesgo. Recordemos que, el riesgo se puede cuantificar como el resultado de multiplicar la probabilidad de que la
amenaza se produzca, por el daño potencial de esta.
El método DREAD, trata de facilitar el uso de un criterio común respondiendo a las siguientes cuestiones:
Damage potential (Daño potencial): ¿Cuál es el daño que puede originar la vulnerabilidad si llega a ser explotada?
Reproducibility (Reproducibilidad): ¿Es fácil reproducir las condiciones que proporciona el ataque?
Exploitability (Explotabilidad): ¿Es sencillo llevar a cabo el ataque?
Affected users (Usuarios afectados): ¿Cuantos usuarios se verían afectados? Discoverability
(Descubrimiento): ¿Es fácil encontrar la vulnerabilidad?
Modelado de Amenazas: El modelado de amenazas es una técnica de ingeniería cuyo objetivo es ayudar a
identificar y planificar de forma correcta la mejor manera de mitigar las amenazas de una aplicación o sistema
informático.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
Ocurrencia: El número de líneas de código fuente donde se identificaron diferentes tipos de vulnerabilidades.
OWASP: OWASP (acrónimo de Open Web Application Security Project, en inglés ‘Proyecto abierto de
seguridad de aplicaciones web’) es un proyecto de código abierto dedicado a determinar y combatir las causas que
hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y
gestiona los proyectos e infraestructura de OWASP. OWASP está formada por empresas, organizaciones
educativas y particulares de todo el mundo. Juntos constituyen una comunidad de seguridad informática que
trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser
usadas gratuitamente por cualquiera.
OWASP TO 10: 2013: El objetivo principal del Top 10 es educar a los desarrolladores, diseñadores, arquitectos,
gerentes, y organizaciones; sobre las consecuencias de las vulnerabilidades de seguridad más importantes en
aplicaciones web. El Top 10 provee técnicas básicas sobre cómo protegerse en estas áreas de alto riesgo y también
provee orientación sobre los pasos a seguir.
PBKDF2: Consiste en generar una nueva contraseña a partir de una contraseña existente. Para ello se parte de una
contraseña inicial y de una semilla, a esta contraseña inicial se le aplica una función de tipo Hash y se repite este
proceso muchas veces. El resultado final es una clave simétrica representada en una secuencia de bytes que puede
ser guardada como un fichero binario, se pude convertir en diferentes formatos como puede ser hexadecimal y
guardarla como texto u otro formato que resulte más cómodo.
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o
daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y
sus consecuencias. [ISO 27001:2013]
SANS TOP 25: Es una lista de los errores más comunes y críticos que puede conducir a graves vulnerabilidades
de software. A menudo son fáciles de encontrar y fácil de explotar. Estos errores con frecuencia permiten a los
atacantes tomar completamente el software, robar datos o impedir que software funcione correctamente.
Es una herramienta que ayuda a que los programadores tengan conciencia para prevenir todo tipo de
vulnerabilidades de software, identificando y mitigando los errores comunes que se puede producir antes del
software sea publicado.
STRIDE: Es un acrónimo que resume 6 categorías de Amenazas como suplantación, Manipulación, Repudio,
Revelación de información, Denegación de Servicio, Elevación de Privilegios.
CÓDIGO:
01
POLITICAS DE DESARROLLO
01
SEGURO SOFTENERGY VERSIÓN:
FECHA: 14/02/2024
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas [ISO
27001:2013]. Un error, falla, debilidad o la exposición de una aplicación, sistema o dispositivo o servicio que
podría dar lugar a un incumplimiento de la confidencialidad integridad o disponibilidad.