Inicio
 > Informes e investigaciones > Blog de TEC > Evaluación y gestión de riesgos en la seguridad ...

Evaluación y gestión de riesgos en la seguridad de la aplicación Web

Escrito por: Caleb Sima
Publicado: enero 27 2006

Introducción

La evaluación de los riesgos de seguridad y la gestión de riesgos de seguridad se han convertido en tareas vitales para oficiales de seguridad y directores IT. Las corporaciones enfrentan mayores niveles de riesgo casi diario: de vulnerabilidades de software escondidas en sus sistemas tecnológicos comerciales hasta piratas informáticos y delincuentes cibernéticos que intentan robar la propiedad corporativa, la propiedad intelectual, incluyendo la información más delicada del cliente. Una lista siempre creciente de normas gubernamentales está diseñada para asegurar la confidencialidad, la integridad y la disponibilidad de varios tipos de información fiscal y de salud también está incrementando los riesgos IT y convirtiendo a una evaluación de riesgos de seguridad una necesidad corporativa moderna.

Pero, ¿cómo realizan las organizaciones una evaluación de riesgos de seguridad de sus sistemas IT y de la información crítica que almacenan sus sistemas? El riesgo rodea todos los días en el mundo físico, y se toman precauciones para mitigar dichos riesgos: desde utilizar el cinturón de seguridad hasta comprar seguros de vida. Pero no es fácil de comprender la gestión de riesgos de seguridad: ¿Cuánto le cuesta realmente a una compañía cuando se viola el servidor Web, o si un ataque interrumpe la disponibilidad de sistemas Web críticos? ¿Cuáles son los costos asociados con el robo hecho por un pirata informático o por un competidor de la información de propiedad o las listas de clientes de un servidor Web? El cómo se lleva a cabo la gestión de riesgos de seguridad Web depende por completo de conocer las respuestas a estas preguntas.

La ecuación de la evaluación de riesgo de seguridad

Dichos riesgos pueden verse más claro a través de la siguiente sencilla ecuación que cuantifica una evaluación de riesgo de seguridad:

Riesgo = Valor del activo x severidad de la vulnerabilidad x probabilidad de un ataque.

En esta ecuación, puede darle un peso de 1-10 (donde 10 es el más alto o severo) para cada factor de riesgo. Al multiplicar los factores, es fácil llegar a una evaluación de riesgo de seguridad para cualquier activo. Veamos un ejemplo común: Se tiene un servidor de comercio electrónico que lleva a cabo 40 por ciento de todas las transacciones del cliente para la organización y tiene una vulnerabilidad muy severa y fácil de explotar.

Riesgo del servidor de comercio electrónico = 10 (valor del activo) x 10 (severidad de la vulnerabilidad) x 10 (probabilidad de un ataque).

En este ejemplo, el riesgo severo al comercio electrónico es igual a 1,000: la evaluación de riesgo de seguridad más alta posible. La compañía podría entonces estructurar sus políticas de gestión de riesgo de seguridad de acuerdo a esto, y asignar más recursos a mitigar los riesgos.

Ahora, comparemos los resultados de evaluación de riesgo de seguridad en dos instancias: una vulnerabilidad moderada con un servicio de comercio electrónico y una vulnerabilidad severa con un servidor Intranet utilizado para publicar anuncios internos.

Riesgo del servidor de comercio electrónico = 10 (valor del activo) x 4 (severidad de la vulnerabilidad) x 4 (probabilidad de un ataque).

El riesgo del servidor de comercio electrónico = 160, un rango moderado de riesgo. Riesgo severo de comercio electrónico = 2 (valor del activo) x 8 (severidad de la vulnerabilidad) x 6 (probabilidad de un ataque).

El riesgo del servidor Intranet = 96, un bajo rango de evaluación de riesgo de seguridad.

Aunque el servidor Intranet tiene una mayor vulnerabilidad, el valor de los activos crea un valor menor relativo de riesgo que el del servidor de comercio electrónico. Al llevar a cabo una evaluación de riesgo de seguridad completa de esta forma les permite a las organizaciones tomar las decisiones adecuadas cuando llega el momento de desplegar recursos escasos para optimizar la protección de sus activos. La gestión de riesgo de seguridad es un proceso de manejar la exposición de una organización a las amenazas a sus activos y capacidades operacionales. Los objetivos del proceso de gestión de riesgo de seguridad son proporcionarle el nivel más óptimo de protección a la organización dentro de la restricciones del presupuesto, normas, éticas y seguridad.

Como pueden las aplicaciones Web y los servicios Web crear riesgos

Una de las fuentes más críticas de riesgo a las organizaciones hoy en día recae dentro de los servidores Web. Esto se debe a servicios Web y aplicaciones de sistemas abiertos y a la información que accedan los proveedores, socios y clientes. Llevar a cabo una evaluación de riesgo de seguridad e implementar las políticas adecuadas de gestión de riesgo de seguridad en estas áreas puede ser crítico. Los servicios Web en peligro pueden dañar a las organizaciones en varias formas, desde entregar los datos privados del cliente y aceptar transacciones fraudulentas que dañan indirectamente el prestigio corporativo y como resultado una página de inicio con una apariencia dañada. Mientras puede parecer que pueden suceder una miríada de cosas malas como resultado de un millón de vulnerabilidades diferentes, podemos categorizar brevemente los “puntos de dolor” centrales para ser dirigidos en su plan de gestión de riesgo de seguridad Web en algunas áreas principales:

Configuración preestablecida. Los servidores Web por lo general están instalados con configuraciones preestablecidas que pueden no ser seguras. Estas inseguridades incluyen muestras y plantillas innecesarias, herramientas administrativas, y localizaciones predecibles de utilidades utilizadas para manejar servidores. La falta de la gestión adecuada de riesgo de seguridad conlleva a varios tipos de ataques que les permiten a los piratas informáticos tener completo control del servidor Web.

Validación de entrada del usuario. Los sitios Web y las aplicaciones necesitan ser interactivas para poder ser útiles. Sin embargo, las aplicaciones Web que no llevan a cabo la validación suficiente de llas pantallas de entrada del usuario les permiten a los piratas informáticos atacar directamente el servidor Web y sus bases de datos. Una entrada inválida conlleva a varios de los ataques más comunes. Una evaluación minuciosa del riesgo de seguridad en las aplicaciones Web internas y externas de su organización puede mostrar, qué acciones se tienen que tomar.

Codificación. Es un hecho triste que a pesar de que los algoritmos de codificación modernos son casi inquebrantables, no se utilizan lo suficiente. Antiguamente, las consideraciones de desempeño se citaban como un factor en el limitado uso de la codificación. Sin embargo, la unidad de procesamiento computacional (CPU) de alto desempeño de hoy en día, y los aceleradores criptográficos especializados han sobrepasado las barreras de precio/desempeño relacionadas con la codificación. El problema con la codificación limitada es que tiene que ver con el pobre diseño de la aplicación y con la falta de conciencia entre los desarrolladores. Casi todo el tráfico Web pasa a la vista y cualquier pirata informático alerta puede fisgonear.

Almacenaje de datos seguro. Al igual que es crítico asegurar los datos en tránsito, también es importante implementar las políticas de gestión de riesgo de seguridad que aseguren que los datos se almacenan de forma segura. Esto incluye la codificación de datos en reposo pero ahí no se detiene. Varias aplicaciones Web almacenan archivos delicados en servidores accesibles públicamente, en lugar de almacenarlos en servidores protegidos. Otras aplicaciones hacen un trabajo pobre al limpiar los archivos temporales, dejando datos vulnerables accesibles al pirata informático que sepa como encontrarlos.

Gestión de sesión. Otro factor que se debe considerar al desarrollar un plan de gestión de riesgo de seguridad es que varias aplicaciones Web realizan un mal trabajo al manejar sesiones de usuario únicas. Esto puede incluir el uso de métodos de autenticación débiles, una mala gestión de cookie, una falla al crear tiempos muertos de sesión y otras debilidades de sesión. Con frecuencia esto conlleva al secuestro de sesión y otros transigencias de identidades de usuarios legítimas. Una evaluación de riesgo de seguridad puede determinar si esto es un problema potencial para la organización.

Mantenimiento. La falta de implementar políticas de gestión de riesgo de seguridad que mantengan actualizados los servidores Web con los nuevos ajustes del vendedor, así como la negligencia a llevar a cabo pruebas continuas de aplicaciones Web de propiedad, crea un riesgo adicional.

Todos estos problemas por lo general son el resultado de la falta del debido cuidado dentro del proceso de desarrollo y mantenimiento de la aplicación. En organizaciones donde la seguridad no está integrada a la planificación comercial y a los procesos de desarrollo, puede una horrible falta de conciencia de la necesidad de incorporar las mejores prácticas de seguridad desde el primer día. Esta es una situación peligrosa, y los resultados de la falta general de conciencia acerca de los riesgos asociados con los servidores Web y las aplicaciones son evidentes con los encabezados semanales que reportan el robo de información del consumidor y de la corporación.

La mejor manera de evitar dichos desastres es establecer un proceso continuo de gestión de riesgos de seguridad que empiece con cuantificar el valor de las aplicaciones Web, al igual que los datos que manejan, a través de una evaluación completa de riesgos de seguridad. Las organizaciones deben continuamente identificar y mitigar las vulnerabilidades y los riesgos asociados con los sistemas desde el principio y durante todo el ciclo de vida: desde el desarrollo hasta la producción.

Este acercamiento de gestión de riesgo de seguridad, constantemente lleva a cabo una evaluación de seguridad de riesgo, por lo que identifica y remedia las vulnerabilidades al corregir los errores del desarrollo de la aplicación, los ajustes de seguridad que apliquen, al arreglar las malas configuraciones del sistema, lo que conlleva a las organizaciones a una mejora continua de la infraestructura tecnológica comercial y a una reducción minuciosa de riesgo.

Acerca del autor

Caleb Sima es co-fundador de SPI Dynamics, una compañía de productos de seguridad de aplicación. Actualmente sostiene papeles duales como CTO y director de los laboratorios SPI y del equipo de seguridad R&D de SPI Dynamics. Anterior a co-fundar SPI Dynamics, Sima trabajó para el equipo X-Force R&D en los sistemas de seguridad de Internet. Sima ha dado conferencias y ha escrito acerca de los métodos de evaluación de seguridad de la evaluación y a contribuido a varias aplicaciones, incluyendo Baseline Magazine, (IN)Secure Magazine, ISSA Journal, y Security Management Magazine, y ha aparecido en la prensa asociada.

 
comments powered by Disqus

Búsquedas recientes:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Others