El crecimiento de soluciones para el desarrollo de software de alta calidad es claro. Es m\u00e1s f\u00e1cil que nunca crear una aplicaci\u00f3n o un sistema, pero esa misma facilidad tambi\u00e9n llega a los ciberdelincuentes.<\/p>\n
A medida que el software se vuelve m\u00e1s conectado y lleno de valiosos datos personales y corporativos, los ciberdelincuentes se vuelven m\u00e1s sofisticados. Ya no son aficionados trabajando en su propia habitaci\u00f3n; son profesionales que viven de ello y forman parte de grandes redes clandestinas.<\/p>\n
Adem\u00e1s, se sabe que es pr\u00e1cticamente imposible desarrollar software completamente libre de fallas de seguridad. La buena noticia es que puede dise\u00f1ar aplicaciones que anticipen dichas vulnerabilidades desde la primera etapa de concepci\u00f3n hasta el lanzamiento al mercado. Es un concepto llamado Segurity by Desing. Para actuar con esta propuesta, la idea es seguir algunos principios predefinidos durante la fase de dise\u00f1o de la aplicaci\u00f3n. De esa manera, incluso cuando aparecen errores, el da\u00f1o que causan no impulsa a los atacantes a obtener todos los datos valiosos, ni genera interrupciones en el uso diario.<\/p>\n
Para acompa\u00f1ar la idea de incorporar la seguridad en cada fase de la construcci\u00f3n de un sistema, existen principios de seguridad est\u00e1ndar que funcionan b\u00e1sicamente para cualquier tipo de soluci\u00f3n. Seguir estos principios es fundamental para garantizar que el software sea lo m\u00e1s seguro posible, tanto para el creador como para el usuario.<\/p>\n
La idea es garantizar que las personas solo tengan acceso a lo estrictamente necesario para realizar su trabajo. Por ejemplo, quien dise\u00f1e un sistema que contenga informaci\u00f3n financiera confidencial de los clientes, es una buena pr\u00e1ctica limitar qui\u00e9n puede acceder a esa informaci\u00f3n. El empleado que contesta el tel\u00e9fono y programa reuniones probablemente no necesite acceder a toda la informaci\u00f3n confidencial.<\/p>\n
Por otro lado, un administrador de cuentas probablemente necesite acceso a esta informaci\u00f3n. Pero la idea es asegurarse de que ese mismo administrador de cuentas no tenga acceso a la informaci\u00f3n de la cuenta que no administra.<\/p>\n
Al hacer que las cuentas solo tengan los privilegios que necesitan para hacer su trabajo, se asegura que si un atacante compromete una cuenta, se minimiza la informaci\u00f3n a la que puede acceder. Esto limita el da\u00f1o de ataque.<\/p>\n
La idea detr\u00e1s de esta pregunta es que ninguna posici\u00f3n debe tener demasiada autoridad. Esto es diferente del concepto de privilegio m\u00ednimo. Si bien esto se enfoca en brindarles a las personas los privilegios que necesitan para realizar su trabajo, se trata de asegurarse de que sus demandas no sean demasiado grandes.<\/p>\n
Cuando alguien hace un trabajo realmente grande, vuelve al punto en el que necesitar\u00e1 muchos permisos para hacer ese trabajo. Adem\u00e1s, cuando alguien tiene muchos deberes en su vida diaria, significa que es susceptible de tomar decisiones equivocadas, posiblemente porque est\u00e1 sobrecargado.<\/p>\n
En definitiva, nadie querr\u00eda que el responsable de realizar las ventas pudiera aprobar tambi\u00e9n los descuentos. Este contribuyente tendr\u00eda un incentivo para descontar el valor de venta del software y podr\u00eda tomar malas decisiones sobre los descuentos para aumentar sus n\u00fameros de ventas. En cambio, otra persona, como un gerente, debe aprobar un descuento antes de que se complete la venta.<\/p>\n
Este es un poco diferente de los principios anteriores. Mientras que el Privilegio M\u00ednimo y la Separaci\u00f3n de Funciones se refieren a c\u00f3mo las personas obtienen acceso al sistema, la Defensa en Profundidad se trata de evitar el acceso al sistema. La expectativa es que cualquier sistema de seguridad establecido fallar\u00e1. Puede ser muy dif\u00edcil sortear las defensas, pero no es imposible.<\/p>\n
Proyectar con defensa en profundidad significa configurar sistemas que le permitir\u00e1n saber cu\u00e1ndo falla la seguridad designada. Por ejemplo, muchos servidores de aplicaciones usan software de seguridad pero est\u00e1n ubicados en un solo edificio. Alguien que irrumpiera en el sitio tendr\u00eda acceso f\u00edsico a cada uno de los servidores. Entonces tal vez este sofisticado firewall o software de detecci\u00f3n de intrusos ser\u00eda ineficaz.<\/p>\n
Es por eso que los centros de datos est\u00e1n dise\u00f1ados con una serie de capas de seguridad l\u00f3gicas y f\u00edsicas para detectar y proteger la informaci\u00f3n.<\/p>\n
Al igual que la defensa en profundidad, el principio de seguridad contra fallas reconoce que las fallas aparecer\u00e1n tarde o temprano. Para imaginar c\u00f3mo un sistema puede fallar de manera segura, imagine un mecanismo de control de acceso digital. Es posible que necesite una credencial de seguridad para acceder a \u00e1reas sensibles de un edificio. Siguiendo el principio de M\u00ednimo Privilegio, la insignia solo le da acceso a las \u00e1reas que necesita para hacer su trabajo. Pero habr\u00eda que pensar en lo que suceder\u00eda en casos de cortes de luz, por ejemplo.<\/p>\n
En un sistema que no abre, todas las cerraduras dejan de funcionar. En un sistema que falla de forma segura, todas las puertas se bloquean. El mismo concepto se aplica al dise\u00f1o de software. Un sistema dise\u00f1ado para fallar de manera segura solo otorga acceso a partes del sistema cuando todos los pasos del proceso se completan con \u00e9xito.<\/p>\n
El Principio de Desing Abierto dice que la seguridad de su sistema no debe depender del secreto de su implementaci\u00f3n. Este es un principio particularmente importante para los conceptos de seguridad, como las implementaciones criptogr\u00e1ficas.<\/p>\n
En t\u00e9rminos generales, el principio de dise\u00f1o seguro garantiza que el sistema est\u00e9 protegido independientemente de que alguien malintencionado obtenga acceso a su c\u00f3digo.<\/p>\n
Es algo similar al Desing Abierto. Tomemos el ejemplo del software que tiene codificada una combinaci\u00f3n secreta de nombre de usuario y contrase\u00f1a. Cuando se autentica, esta cuenta tiene acceso completo a todas las cuentas del sistema. La seguridad de este sistema depende de que las credenciales de esta cuenta se mantengan en secreto.<\/p>\n
Sin embargo, con el tiempo, un n\u00famero cada vez mayor de usuarios tendr\u00e1 acceso a \u00e9l. Algunos dejar\u00e1n la empresa, y si las credenciales no son gestionadas adecuadamente por el equipo de tecnolog\u00eda, esto abre una brecha para los incidentes de seguridad.<\/p>\n
Lo cierto es que la seguridad de cada aplicaci\u00f3n depende, en cierta medida, del secreto. Despu\u00e9s de todo, las contrase\u00f1as siguen siendo una parte fundamental de la mayor\u00eda de los esquemas de autenticaci\u00f3n. Sin embargo, un mejor dise\u00f1o para este sistema es aquel en el que no existe la cuenta con acceso completo. Y si es necesario crearlo, es importante gestionarlo adecuadamente para evitar incidentes de seguridad.<\/p>\n
Aqu\u00ed la idea es eliminar partes de una aplicaci\u00f3n para hacerla m\u00e1s segura. Es algo similar a lo que ocurre con la estructura f\u00edsica de los centros de datos, que se ubican en salas sin ventanas. Como las ventanas son relativamente f\u00e1ciles de romper, es mejor quitarlas, ya que en un centro de datos no son muy \u00fatiles.<\/p>\n
Muchas partes del software son como ventanas. Al principio, pueden parecer interesantes, pero traen consigo la posibilidad de exponer caracter\u00edsticas que conducen a errores. Por lo tanto, para minimizar el \u00e1rea de superficie de ataque, es importante preguntarse si un recurso en particular es realmente necesario. A veces, al redise\u00f1ar una funci\u00f3n para simplificarla, mejora la seguridad general de la aplicaci\u00f3n.<\/p>\n","protected":false},"excerpt":{"rendered":"
El crecimiento de soluciones para el desarrollo de software de alta calidad es claro. Es m\u00e1s f\u00e1cil que nunca crear una aplicaci\u00f3n o un sistema, pero esa misma facilidad tambi\u00e9n llega a los ciberdelincuentes. A medida que el software se vuelve m\u00e1s conectado y lleno de valiosos datos personales y corporativos, los ciberdelincuentes se vuelven […]<\/p>\n","protected":false},"author":14,"featured_media":18949,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1005,1015,1019],"tags":[],"class_list":["post-18966","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aprendizaje-descubrimiento","category-educacion-digital","category-generico"],"yoast_head":"\n