¿Qué es una auditoría a una aplicación web?

febrero 20, 2021febrero 20, 2021

En este entorno de migración a la nube y pandemia mundial, una de las superficies que presenta más riego de sufrir ciber ataques en las empresas son las aplicaciones o portales web.

Las aplicaciones web internas y externas son ahora una parte importante de los negocios modernos. Algunas de las empresas más grandes del mundo nacieron de una aplicación web (eg. Facebook y Google), y las plataformas web son fundamentales para el comercio, las finanzas y el gobierno.

Es por eso que realizar una auditoría de seguridad a las aplicaciones web puede resultar crítico para la continuidad del negocio.

Básicamente se busca detectar vulnerabilidades en las aplicaciones o sistemas que pudieran significar la interrupción de su operación, el acceso de ciber delincuentes a la red o la fuga de datos (data breach).

Web Application Security Assessment

Para esto es necesario realizar pruebas con y sin autenticación de usuario, dentro y fuera del firewall o WAF para asegurarnos de descubrir todas las vulnerabilidades.

Entre las actividades que realizamos durante la auditoría de seguridad están;

  • Revisión de políticas y estándares de seguridad (OWASP)
  • Identificación y verificación (CVSS*) de vulnerabilidades como Cross- site Scripting, Inyección SQL, Path Traversal, entre otras.
  • Pruebas de penetración (Pen Testing)
  • Reportes con recomendaciones y soluciones para remediar las vulnerabilidades detectadas.
  • Reportes de cumplimiento – OWASP Top 10, CWE Top 25, ISO 27001, entre otros.

¿Qué tan frecuente se debe realizar una auditoría de seguridad a una aplicación web?

La recomendación mínima para realizar esta evaluación (assessment) se puede resumir en: Cada vez que se realice una actualización importante a la aplicación o sistema. Cada vez que se integre una nueva funcionalidad o servicio si es posible.

Penetration Testing

En la actualidad la auditoría de seguridad a las aplicaciones se ha incorporado al ciclo de Desarollo-Operación (DevOps). Aplicando el nuevo modelo DevSecOps.

Modelo DevSecOps

* CVSS (Common Vulnerability Scoring System) – estándar de la industria para evaluar la gravedad de las vulnerabilidades de seguridad de un sistema informático.

Contáctanos para que conversemos sobre la auditoría a sistemas y aplicaciones web.

Cyberseguridad México © 2021

Related Post

Post Image

Read More

Threat Hunting Service

En el mundo digital actual, las ciber amenazas se han vuelto más sofisticadas y frecuentes.…
Post Image

Read More

El impacto de la Inteligencia Artificial en la ciberseguridad

La rápida evolución de la tecnología ha traído consigo un panorama de amenazas cada vez…

Read More

México prepara una ley de ciberseguridad

México tiene un grave problema de ciberseguridad, se trata del país que encabeza la tabla de naciones…