martes, 29 de enero de 2008

Diseño de especificaciones de seguridad (2 de 3)

Continuemos viendo las especificaciones de seguridad. Como hemos identificado en el post anterio existen diferentes tipos o categorias de amenazas. Su concimiento nos permite crear un plan o metodología para contemplar una posible respuesta a dichos tipos de amenazas.

Con el fin de tener un guión a la hora planificar esta tarea podemos identificar una serie de pasos para crear un modelo de amenazas son:

  • Organizar una reunión de tormenta de ideas.
  • Aplicar la organización de categorías de seguridad STRIDE.
  • Listar todas las posibles amenazas.
  • Crear apuntes.
  • Investigar.
  • Clasificar el riesgo de cada amenaza.
Por supuesto estas actividades deben tener su soporte tecnológico. Los grandes fabricantes de entornos de desarrollo están ampliamanete sensibilizados con los problemas de seguridad (más les vale) y portan tecnología out-the-box para la correcta gestión de la seguridad de las aplicaciones que sobre ellos se desarrollan.

Por ejemplo, las características de seguridad del Microsoft .Net Framework incluyen:

  • Validaciones de Tipo seguro
  • Firmado de código.
  • Encriptación y firmado de datos.
  • Seguridad de acceso al código.
  • Seguridad basada en roles.
  • Almacenamiento separado.

Finalizaremos en el siguiente post.

Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)