Para salvaguardar la seguridad es necesario tener claros los puntos donde existe un riesgo para el negocio, establecer una serie de normas para evitar incurrir en riesgos elevados e implementar controles para saber en qué medida se están cumpliendo esas normas que se han establecido.
Los controles para el cumplimiento de las normas de seguridad, o simplemente los controles de seguridad, pueden ser de diversa índole dependiendo del objetivo que persiguen. Controles preventivos, como por ejemplo un firewall o un antivirus, para prevenir incidencias cuyas características tenemos completamente identificadas; controles correctivos, como por ejemplo las copias de seguridad que corrigen cualquier problema “a posteriori”; controles administrativos, para conocer en qué medida se están cumpliendo las medidas administrativas, controles detectivos, para detectar dónde pueden estar fallando otros controles,…
Respecto a las pruebas de seguridad de aplicaciones, “Application Security Testing” o “AST” para los más acronimófilos, podemos encuadrarlas en los controles detectivos, cuya importancia reside en detectar fallos de controles que nos pueden predisponer a un problema en relación con la seguridad del negocio.
Lo habitual es que se implementen controles preventivos para procurar la seguridad de las aplicaciones, y que la confianza que se deposita en tales controles sea máxima, pero no hay que olvidar que los controles preventivos no previenen de la totalidad de los ataques y, en los tiempos que corremos, no se actualizan adecuadamente para soportar las nuevas vulnerabilidades que van apareciendo, que según el NIST son 19 al día en promedio.
Por tanto, podemos decir que las pruebas de seguridad en aplicaciones tienen dos características que las revisten de especial importancia: verifican la eficacia de los controles preventivos de seguridad que se aplican sobre las aplicaciones – no olvidemos que las aplicaciones gestionan los datos del negocio -; y además son los procesos mediante los cuales se simulan ataques reales sobre las aplicaciones. Estas dos circunstancias permiten conocer con certeza cuan seguras son las aplicaciones, y no recurrir a la letanía de enumerar los controles preventivos cuando alguien nos pregunte ¿Cómo de seguras son tus aplicaciones?
Descubre nuestra solución de Application Security Testing, dirigida a las crecientes amenazas de seguridad que sufren las aplicaciones críticas de negocio.
Tu centro de expertise en España sobre Quality Engineering y Testing 
Pingback: A vueltas con las pruebas de seguridad de las aplicaciones | QA:news