¿Qué es una auditoría a una aplicación web?

febrero 20, 2021febrero 20, 2021

En este entorno de migración a la nube y pandemia mundial, una de las superficies que presenta más riego de sufrir ciber ataques en las empresas son las aplicaciones o portales web.

Las aplicaciones web internas y externas son ahora una parte importante de los negocios modernos. Algunas de las empresas más grandes del mundo nacieron de una aplicación web (eg. Facebook y Google), y las plataformas web son fundamentales para el comercio, las finanzas y el gobierno.

Es por eso que realizar una auditoría de seguridad a las aplicaciones web puede resultar crítico para la continuidad del negocio.

Básicamente se busca detectar vulnerabilidades en las aplicaciones o sistemas que pudieran significar la interrupción de su operación, el acceso de ciber delincuentes a la red o la fuga de datos (data breach).

Web Application Security Assessment

Para esto es necesario realizar pruebas con y sin autenticación de usuario, dentro y fuera del firewall o WAF para asegurarnos de descubrir todas las vulnerabilidades.

Entre las actividades que realizamos durante la auditoría de seguridad están;

  • Revisión de políticas y estándares de seguridad (OWASP)
  • Identificación y verificación (CVSS*) de vulnerabilidades como Cross- site Scripting, Inyección SQL, Path Traversal, entre otras.
  • Pruebas de penetración (Pen Testing)
  • Reportes con recomendaciones y soluciones para remediar las vulnerabilidades detectadas.
  • Reportes de cumplimiento – OWASP Top 10, CWE Top 25, ISO 27001, entre otros.

¿Qué tan frecuente se debe realizar una auditoría de seguridad a una aplicación web?

La recomendación mínima para realizar esta evaluación (assessment) se puede resumir en: Cada vez que se realice una actualización importante a la aplicación o sistema. Cada vez que se integre una nueva funcionalidad o servicio si es posible.

Penetration Testing

En la actualidad la auditoría de seguridad a las aplicaciones se ha incorporado al ciclo de Desarollo-Operación (DevOps). Aplicando el nuevo modelo DevSecOps.

Modelo DevSecOps

* CVSS (Common Vulnerability Scoring System) – estándar de la industria para evaluar la gravedad de las vulnerabilidades de seguridad de un sistema informático.

Contáctanos para que conversemos sobre la auditoría a sistemas y aplicaciones web.

Cyberseguridad México © 2021

Related Post

Read More

Check Point partner en México

Nos complace informar que hemos sido aprobados como partners certificados (reseller) de Check Point en…

Read More

¿Qué es un SOC – Security Operations Center?

Un SOC (Security Operations Center) es una función centralizada dentro de una organización que emplea…

Read More

CloudGuard Application Security

La transformación digital que están realizando las empresas esta moviendo las aplicaciones de negocio a…