Soluciones Integrales de Seguridad

Si todavía no eres cliente y necesitas información sobre nuestros servicios profesionales, consultoría y soluciones de seguridad, asistencia técnica, información sobre partners o cualquier otra duda, ponte en contacto con nosotros.

Si se trata de un Incidente de Seguridad,
te recomendamos que lo hagas vía telefónica

Share on whatsapp
WhatsApp
Share on facebook
Facebook
Share on email
Email
OWASP WSTG v4.2. Guía para realizar pentesting en aplicaciones web

El Estándar de Verificación de Seguridad de Aplicaciones de OWASP ASVS es una lista de requisitos o pruebas de seguridad de aplicaciones que los arquitectos, desarrolladores, evaluadores, profesionales de la seguridad e incluso los consumidores pueden utilizar para definir qué constituye una aplicación segura.

OWASP ASVS ofrece una lista completa de requisitos, controles y pruebas de seguridad de aplicaciones web que puede utilizar para determinar el alcance, crear y verificar aplicaciones web y móviles seguras. Permite a las organizaciones desarrollar y mantener aplicaciones más seguras; y también brinda a los proveedores de servicios de seguridad y proveedores un conjunto de controles bien documentado con el que pueden alinear sus requisitos y ofertas. La última versión, OWASP ASVS v4.0.2, se lanzó en octubre de 2020.

A continuación explicamos cómo los requisitos de seguridad y las pruebas de ASVS se corresponden con ISO 27001, o más específicamente cómo se asignan a ISO 27002, la cual proporciona detalles y orientación prescriptiva sobre cómo implementar los controles enumerados en el Anexo A de ISO 27001.

V1: Arquitectura, diseño y modelado de amenazas

La sección de arquitectura, diseño y modelado de amenazas del ASVS cubre cómo verificar la arquitectura de una aplicación y también su modelado de amenazas ante todos los riesgos aplicables.

Esto es paralelo a la sección A.8 de ISO 27001, que cubre la gestión de activos (por ejemplo, inventario de activos, clasificación, etc.). Esto se debe a que, para verificar la arquitectura de la aplicación y el modelo de amenazas, es necesario hacer un inventario de todos los activos de información asociados con la aplicación.

V2: Autenticación

La sección de requisitos de verificación de autenticación de ASVS explica cómo verificar la identidad digital del remitente de una comunicación a la aplicación, cómo garantizar que solo las entidades autorizadas puedan autenticarse y las credenciales se transporten de forma segura.

Esto se corresponde con los controles de la sección A.9 de la norma ISO 27001, que trata de los requisitos de control de acceso. Cualquier aplicación que cumpla con los estrictos y detallados requisitos de ASVS en torno a la autenticación seguramente cumplirá con la norma ISO 27001 a este respecto. Además, la guía de ASVS sobre el registro de decisiones de control de acceso (si las solicitudes de acceso tuvieron éxito o no) cubre la sección A.12.4 de ISO 27001.

V7: Criptografía en reposo

La sección V7 de ASVS cubre el cifrado. Esto coincide con la sección A.10 de ISO 27001, que cubre los controles criptográficos, incluida la gestión de claves.

Si una aplicación pasa todas las pruebas en ASVS V7, esto ayudará significativamente a cumplir con la sección A.18 de ISO 27001. Por ejemplo, ASVS Nivel 2 y 3 exige el cifrado en reposo de todos los datos confidenciales, que aborda directamente el requisito de cumplimiento en el control A.18 de ISO 27001.

V8: Manejo y registro de errores

Los requisitos de verificación de registro y manejo de errores de ASVS son una combinación perfecta para los controles en A.12.4 en ISO 27001, que cubre el registro y monitoreo.

El ASVS especifica que los eventos deben registrarse y estar disponibles para su investigación en el futuro, y también el registro debe protegerse del acceso no autorizado. Los registros también deben almacenarse en una partición diferente a la de la aplicación en ejecución. ASVS establece además que las aplicaciones no deben registrar datos confidenciales según lo definido por las regulaciones de privacidad aplicables (y/o la evaluación de riesgos ISO 27001).

Estos y otros requisitos en el ASVS se corresponden muy de cerca con A.12.4. Por lo tanto, si una aplicación cumple con ASVS en este sentido, también debe cumplir con los requisitos para la certificación ISO 27001.

V9: Protección de datos

El ASVS V9 cubre los requisitos de protección de datos y hace referencia a “tres elementos clave para una protección de datos sólida: confidencialidad, integridad y disponibilidad (CIA)”. La coincidencia más cercana a estos requisitos en ISO 27001 es A.18.1.3, que se refiere a la protección de registros confidenciales contra el acceso no autorizado, la modificación, etc.

V10: Seguridad de las comunicaciones

Los requisitos especificados en ASVS V10 para verificar la seguridad de las comunicaciones se relacionan con el cumplimiento de la sección A.14.1 de ISO 27001. Esta sección trata sobre la seguridad de las comunicaciones a través de redes públicas; p. ej., ¿una aplicación cifra las transacciones o garantiza de alguna otra forma que estén seguras y protegidas?

Otros paralelos ASVS e ISO

Además de lo anterior, existen varios paralelismos entre los principios de ingeniería segura en ISO 27001 A.14.2 y A.14.3 y los requisitos de ASVS para la configuración de seguridad HTTP, verificación de controles maliciosos, lógica de negocios, verificación de archivos y recursos, pruebas de aplicaciones móviles, verificación de servicios web, requisitos de configuración y más.

OWASP ASVS es un gran marco para que lo adopte cualquier organización de desarrollo, con el fin de garantizar que las aplicaciones y sus arquitecturas sean seguras. Como ventaja adicional, verificar que una aplicación cumpla con las pautas de ASVS puede ayudar a acercarse al cumplimiento de ISO 27001, siempre que la aplicación esté dentro del alcance de su esfuerzo de cumplimiento de ISO.

De hecho, es sorprendente que haya tantas correspondencias entre los dos marcos, dado que ISO 27001 aborda la seguridad de la información de manera integral, mientras que ASVS se centra estrictamente en la seguridad de las aplicaciones.

Haz tu aplicación web más segura

OWASP WSTG v4.2

  • Responsable de los datos: Diego Ariza Cívico (AFS Informática)
  • Finalidad de los datos: El desarrollo de actividades y prestación de información sobre servicios y productos de Diego Ariza Cívico (AFS Informática)
  • Legitimación: Tu consentimiento
  • Almacenamiento de los datos: Base de datos alojada en SiteGround Spain S.L. (UE)
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: En cualquir momento puedes acceder, limitar, recuperar y borrar tu información
  • Contacto RGPD: [email protected]
OWASP WSTG v4.2. Guía para realizar pentesting en aplicaciones web

Comparte este artículo para mejorar la calidad del blog…

Share on whatsapp
WhatsApp
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on telegram
Telegram
Share on email
Email

Continúa leyendo…

Contenido patrocinado…

Data Center Virtual
Servidores Tier IV situados en España

Completo Data Center Virtual, fácil e intuitivo desde el primer día, sin formación, potente red SDN, almacenamiento a medida, backups y snapshots, monitorización avanzada y mucho más...

AFS Informática como
Marca Blanca

Ofrece y externaliza nuestros servicios de Seguridad. Nunca contactaremos con tus clientes. Especial para gestorías, asesorías, bufetes de abogados, comerciales independientes, grandes empresas, etc...

AFS Informática - Ejercicios de Red Team

¿Has sido o estás siendo víctima de una estafa o ataque informático?

Solicita un

Perito Informático

  • Responsable de los datos: Diego Ariza Cívico (AFS Informática)
  • Finalidad de los datos: El desarrollo de actividades y prestación de información sobre servicios y productos de Diego Ariza Cívico (AFS Informática)
  • Legitimación: Tu consentimiento
  • Almacenamiento de los datos: Base de datos alojada en SiteGround Spain S.L. (UE)
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: En cualquir momento puedes acceder, limitar, recuperar y borrar tu información
  • Contacto RGPD: [email protected]

Solicita una reunión gratuita con un experto

¿Has encontrado lo que buscabas?

Si no lo has encontrado, solicita GRATIS una reunión con un asesor