Home Noticias Casos de Exito Metodología de Seguridad Web para Gobierno de Canarias

Metodología de Seguridad Web para Gobierno de Canarias

postdateiconMiércoles 12 de Mayo de 2010 00:00

securidad_webEdosoft Factory implantó una Metodología de Pruebas de Seguridad en las Aplicaciones Web desplegadas en las instalaciones del Gobierno de Canarias.

 Bajo la infraestructura proporcionada por el Gobierno de Canarias se alojan múltiples Aplicaciones Web que ofrecen todo tipo de servicios al ciudadano y  a los empleados públicos. Estas aplicaciones se utilizan como parte de la operativa diaria y en la mayoría de los casos permiten a los usuarios interactuar con la organización gestionando gran cantidad de datos sensibles incluyendo transacciones monetarias.

 


Las Aplicaciones y Servicios Web, por su naturaleza distribuida, son susceptibles a una serie de vulnerabilidades comunes, la mayoría de ellas referenciadas en Internet donde se explica con todo lujo de detalles como explotarlas. Muchas de estas vulnerabilidades son independientes de la plataforma o las tecnologías utilizadas para el desarrollo de la aplicación, pero la manera de codificar una aplicación influye en el grado de vulnerabilidad de esta. Durante el desarrollo de una aplicación, el equipo encargado se preocupa fundamentalmente en que la aplicación sea funcionalmente correcta, pero no repara en la importancia de que sea segura la mayoría de las veces por desconocimiento y falta de tiempo durante la fase de desarrollo debido a los plazos de entrega muy ajustados. Si las aplicaciones no son programadas siguiendo unos estrictos requisitos de seguridad, y no pasan por unas pruebas de vulnerabilidad que permitan comprobar la seguridad de la aplicación, pueden ser una puerta de entrada para un agente mal intencionado (ex-empleados, hackers, crackers, personal de otras entidades, etc…) que podría conseguir entre otras cosas acceso a información confidencial, robo de datos privados como usuarios, contraseñas, número de tarjetas de crédito, e incluso realizar denegación del servicio o destrucción o modificación de información. Los ataques de estas caracteristicas son muy perjudiciales para la organización tanto en el área operativa como en el área legal.

Página Principal del Gobierno de Canarias

Teniendo en cuenta lo especificado en el apartado anterior Edosoft Factory implantó una Metodología de Pruebas Seguridad que consistió en la definición de los siguientes documentos:

  • Documento de requisitos obligatorios y optativos que debían cumplir las empresas encargadas de elaborar el software de dichas aplicaciones. 

  • Documento de metodología de pruebas a realizar a dichas aplicaciones para comprobar la seguridad de las mismas así como el cumplimiento de los requisitos de seguridad exigidos en el documento anterior. Dicha metodología está basada en OWASP.

  • Documento de herramientas que permitan desarrollar las pruebas especificadas en dicha metodología.

Por último, se impartió un curso de formación de una semana a las personas que se encargarían posteriormente de realizar las pruebas de vulnerabilidad en las aplicaciones, con el objetivo de enseñarles las nociones básicas para poder implantar dicha metodología.

  • Español(Spanish Formal International)
  • English (United Kingdom)

Copyright © 2012 Edosoft Factory SL.
All Rights Reserved.

Designed by Edosoft Factory.