¿Qué es una auditoría a una aplicación web?

En este entorno de migración a la nube y pandemia mundial, una de las superficies que presenta más riego de sufrir ciber ataques en las empresas son las aplicaciones o portales web.

Las aplicaciones web internas y externas son ahora una parte importante de los negocios modernos. Algunas de las empresas más grandes del mundo nacieron de una aplicación web (eg. Facebook y Google), y las plataformas web son fundamentales para el comercio, las finanzas y el gobierno.

Es por eso que realizar una auditoría de seguridad a las aplicaciones web puede resultar crítico para la continuidad del negocio.

Básicamente se busca detectar vulnerabilidades en las aplicaciones o sistemas que pudieran significar la interrupción de su operación, el acceso de ciber delincuentes a la red o la fuga de datos (data breach).

Web Application Security Assessment

Para esto es necesario realizar pruebas con y sin autenticación de usuario, dentro y fuera del firewall o WAF para asegurarnos de descubrir todas las vulnerabilidades.

Entre las actividades que realizamos durante la auditoría de seguridad están;

  • Revisión de políticas y estándares de seguridad (OWASP)
  • Identificación y verificación (CVSS*) de vulnerabilidades como Cross- site Scripting, Inyección SQL, Path Traversal, entre otras.
  • Pruebas de penetración (Pen Testing)
  • Reportes con recomendaciones y soluciones para remediar las vulnerabilidades detectadas.
  • Reportes de cumplimiento – OWASP Top 10, CWE Top 25, ISO 27001, entre otros.

¿Qué tan frecuente se debe realizar una auditoría de seguridad a una aplicación web?

La recomendación mínima para realizar esta evaluación (assessment) se puede resumir en: Cada vez que se realice una actualización importante a la aplicación o sistema. Cada vez que se integre una nueva funcionalidad o servicio si es posible.

Penetration Testing

En la actualidad la auditoría de seguridad a las aplicaciones se ha incorporado al ciclo de Desarollo-Operación (DevOps). Aplicando el nuevo modelo DevSecOps.

Modelo DevSecOps

* CVSS (Common Vulnerability Scoring System) – estándar de la industria para evaluar la gravedad de las vulnerabilidades de seguridad de un sistema informático.

Contáctanos para que conversemos sobre la auditoría a sistemas y aplicaciones web.

Cyberseguridad México © 2021

Related Post

Los ataques de ransomware aumentaron un 67% en 2019

El año pasado fue un año muy complicado para la ciberseguridad de las empresas, graves…

Pruebas de Penetración para cumplimiento del PCI DSS

Protege tu entorno de datos de tarjetas con Cyberseg Solutions En el mundo digital actual,…

Software para Penetration Testing

Una herramienta efectiva y muy utilizada para realizar Pruebas de Penetración (Pen testing) son los…