martes, 29 de enero de 2008

Diseño de especificaciones de seguridad (1 de 3)

Vamos a analizar algunos aspectos relativos a la seguridad de las aplicaciones. Primero veamos los tipos más comunes de vulnerabilidades de seguridad:

  • Contraseñas débiles.
  • Software des-configurado o mal configurado.
  • Ingeniería social.
  • Conexiones de Internet.
  • Transferencia de datos sin encriptar.
  • Desbordamiento de buffer.
  • SQL Injection.
  • Secretos en código.

El conocimiento de dichos tipos de vulnerabilidades nos permite realizar una planificación más detallada de los pasos a seguir y aspectos a tener en cuenta.

Los pilares para crear una estrategia de seguridad incluyen:

  • Confiar en sistemas de seguridad probados.
  • Nunca confiar en las entradas externas.
  • Asumir que los sistemas externos no son seguros.
  • Aplicar el principio de mínimos privilegios.
  • Reducir la disponibilidad de componentes y datos.
  • Colocar como modo por defecto el modo seguro.
  • No confiar en la seguridad por ocultación.
  • Seguir los principios de STRIDE.
Continuaremos con el siguiente post.

No hay comentarios: