2. Que son las pruebas de seguridad:
Son pruebas para validar los servicios de una
aplicación e identificar posibles fallos y debilidades.
Muchos proyectos utilizan un enfoque de caja negra
para las pruebas de seguridad, lo que permite que
cualquiera sin ningún conocimiento del software,
probar la aplicación en busca de agujeros, fallos,
exploit y debilidades.
3. Porque es importante?
Porque protegemos nuestro sistema de los ataques informáticos,
hackeos o cualquier robo de datos o identidad. Por todo ello, es
importante que para dotar a nuestro sistema con las mejores medidas,
tengamos en cuenta cómo va evolucionando este concepto y siempre
estemos actualizados para conocer a la perfección las nuevas
herramientas que van apareciendo para evitar estas amenazas.
La ciberseguridad es tan importante que sólo el gobierno de los Estados
Unidos invierte de forma anual alrededor de 13.000 millones de dólares
en ella. Las autoridades estadounidenses también tienen claro que los
ataques informáticos se renuevan constantemente y es por ello que
siempre hay que estar alerta y no bajar la guardia en ningún momento.
4. Primeros pasos para el equipo de QA
El trabajo es difícil y complejo, y las metodologías que usamos hoy en dia en desarrollo
a alta velocidad como Agile y DevOps han colocado una presión extra en los enfoques
y las herramientas tradicionales. Por lo tanto es importante pensar en cómo enfocarse
en lo que es importante; como que queremos probar y cual es el costo.
Los riesgos modernos cambian rápidamente, así que los días para hacer un test de
penetración a una aplicación para encontrar vulnerabilidades deben ser tan constantes
como los cambios que vamos teniendo en las amenazas. Esto quiere decir que
desarrollo de software requiere revisión continua de seguridad a través de todo el ciclo
de vida del desarrollo de software.
Se debe analizar cómo mejorar los canales de desarrollo existentes, automatizando la
seguridad para que no retrase el desarrollo. Cualquiera sea el enfoque que elija,
considere el costo anual de revisar, clasificar, remediar, revisar de nuevo, y volver a
poner en producción una sola aplicación, multiplicado por la cantidad de aplicaciones.
5. Comprender el
Modelo de
Amenazas
Antes de comenzar la revision, hay que asegurarse de comprender en
que es importante invertir tiempo y pruebas.
Las prioridades deben venir del modelo de amenazas, si no se tiene uno
hay que empezar por crear antes de empezar cualquier prueba.
OWASP tiene toda una guia de amenzas.
6. Comprender su
SDLC (System
Development Life
Cycle)
Sus pruebas de seguridad tiene y deben ser compatibles con las
personas, los procesos y las herramientas que usa su SDLC. Intentos de
forzr pasos, flujos de autorizaciones y revisions extra podrian causar
friccion. Hay que buscar la forma mas natural de obtener la informacion.
7. Estrategias de
pruebas
Siempre se debe escoger la tecnica mas simple, rapida y precisa para
validar y verificar cada requerimiento. OWASP puede ser una buena
fuente para conocer las amenazas, los requerimientos funcionales y no
funcionaes y en las pruebas de integracion. En esta parte es importante
considerer los recursos humanos para poder lidiar con falsos positivos de
las herramientas de automatizacion, asi como los peligros de los falsos
negativos.
8. Lograr cobertura y
precision
No hay que pensar que podemos cubrir todo, hay que concentrarse en
lo mas importante y comenzar a amplicar con el tiempo. Con esto es
necesario ampliar el conjunto de defensas y riesgos de seguridad que se
automatizan, asi como ampliar las diferentes aplicaciones y los APIs que
se incluyen en el alcance.
Lo ideal es lograr que la seguridad esencial de las aplicaciones y el API
se verifiquen continuamente.
9. Comunicacion clara
y eficaz
No importa si tenemos las mejores pruebas, si no logramos comunicar
nuestros resultados de la mejor manera de nada valdra el esfuerzo
realizado.
Hagamos ver que conocemos la aplicacion, sabes como puede ser
vulnerada y como podemos mejorar como equipo.