¿Cómo aplicar las mejores buenas prácticas de Seguridad en la web de tu entidad?
24 junio, 2021 0

Para que la experiencia de usuario de nuestro proyecto digital sea satisfactoria tenemos que implantar buenas prácticas de seguridad web. Estas acciones garantizan a nuestros usuarios que sus datos sensibles están protegidos. La ciberseguridad no es algo nimio. Sin duda, esta protección es necesaria y obligatoria cuando hablamos de páginas web de Administraciones públicas, pero también es aplicable por supuesto a empresas y organizaciones privadas. La seguridad de tu proyecto digital es tremendamente importante.

En este post te voy a contar cuál es la normativa nacional que tienen que aplicar las Administraciones públicas en sus proyectos digitales y también un proyecto internacional que aboga por el internet seguro mundial. Por último, te voy a contar los tres pasos del análisis de ciberseguridad que realizamos en Innovae con los proyectos digitales de nuestros clientes.

El ámbito legal de la Seguridad Web:

el Esquema Nacional de Seguridad (ESN)

El Esquema Nacional de Seguridad (ESN) tiene por objeto implantar y regular la política de seguridad en el uso de medios electrónicos de la Administración Pública. La ciberseguridad es vital para que las tecnologías de la información y las telecomunicaciones (TIC) permitan que los usuarios puedan acceder a las plataformas virtuales de la Administración pública de una forma segura, a salvo de amenazas cibernéticas. 

Este ESN debe ser aplicado por todas las entidades del sector público (tanto de ámbito estatal, autonómico y local) de forma que se garantice el acceso, disponibilidad, integridad, confidencialidad, autenticidad y conservación de datos, informaciones y otros servicios que estén relacionados con las competencias de cada una de las entidades de forma electrónica. Por tanto, en el ESN se recoge una serie de principios básicos que deben seguir las Administraciones Públicas en materia de ciberseguridad. Además, también incluyen los requisitos mínimos de los sistemas para proteger la información adecuadamente.

  • Administración General del Estado
  • Administración de las Comunidades Autónomas
  • Administraciones Locales
  • Partidos políticos con representación parlamentaria
  • Las entidades de derecho público vinculadas o dependientes de las mismas: hospitales, fundaciones y universidades de ámbito público
  • Cámaras de comercio y colegios profesionales
  • Empresas públicas de suministros como energía, agua, transportes, etc.
  • Federaciones deportivas
  • A los ciudadanos en sus relaciones con las Administraciones Públicas
  • A las relaciones entre las distintas Administraciones Públicas
  • A todas las entidades que tengan contratos con las Administraciones Públicas

Según podemos consultar en el documento de preguntas frecuentes sobre el Esquema Nacional de Seguridad, a la hora de tratar la seguridad de las Administraciones Públicas, en el ESN se recogen seis objetivos a cumplir:

  • Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
  • Introducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.
  • Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la Industria.
  • Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.
  • Facilitar un tratamiento continuado de la seguridad.

Estos seis objetivos se resumen en tres fundamentales:

Fomentar la confianza del usuario cuando se disponga a utilizar medios electrónicos de las entidades públicas.

Establecer elementos comunes en los procesos que permitan unificar las medidas de seguridad utilizadas.

Facilitar la interacción tanto entre administraciones como entre usuarios para integrar los sistemas de seguridad.

¿Qué es la metodología OWASP

y cómo afecta a la seguridad de tu página web?

La metodología OWASP proviene de las siglas Open Web Application Security Project (Proyecto abierto de seguridad de aplicaciones web) y promueve el desarrollo de software seguro orientado a la prestación de servicios online. Este proyecto, que nació en 2001, tiene el objetivo de mejorar la seguridad de los proyectos digitales, luchando contra las causas que hacen que los softwares sean inseguros para los usuarios. 

Su principal proyecto es la OWASP Guide Project, una guía que establece los principales controles a auditar en cualquier proyecto online. Estos controles se agrupan en las siguientes categorías:

  • Recopilación de información sensible.
  • Configuración y despliegue de los controles de seguridad.
  • Gestión de la identidad (definición de roles, usuarios, etc.).
  • Autenticación y controles de seguridad.
  • Autorización y privilegios según niveles.
  • Control de la sesión relacionado con las cookies y tiempos de sesión.
  • Validación de la entrada de datos en formularios, búsquedas…
  • Manejo de los mensajes de error que aparezcan en la aplicación digital.
  • Controles para probar la seguridad de los mecanismos de cifrado del proyecto digital.
  • Lógica de aplicación frente a usos inesperados.
  • Pruebas de seguridad realizadas desde el punto de vista del usuario final.

Desde el proyecto OWASP se publica un TOP 10 de las mayores vulnerabilidades de seguridad en aplicaciones web, una lista que se actualiza cada tres años, incluyendo los elementos que intervienen en ella y cómo prevenirla. La versión más reciente, publicada en 2017, es la siguiente:

  • A1 - Inyección
  • A2 - Autenticación rota
  • A3 - Exposición de datos confidenciales
  • A4 - Entidades externas XML (XXE)
  • A5 - Control de acceso roto
  • A6 - Configuración incorrecta de seguridad
  • A7 - Secuencias de comandos entre sitios (XSS)
  • A8 - Deserializacion insegura
  • A9 - Uso de componentes con vulnerabilidades conocidas
  • A10 - Registro y monitoreo

Aplicación de buenas prácticas de seguridad web

en tu proyecto digital con Innovae

En Innovae, seguimos la metodología OWASP y el Esquema Nacional de Seguridad para implementar sistemas de seguridad. Para las entidades con las que trabajamos es muy importante que sigamos unos estándares de calidad muy exigentes a la hora de tratar con la seguridad, por lo que es un tema en el que ponemos especial cuidado y detalle.

Por eso, seguimos un proceso estipulado en tres fases, donde las revisiones y los controles son la máxima prioridad.

En Innovae desarrollamos código siguiendo prácticas OWASP. Para asegurarnos de que el desarrollador no haya cometido ningún error sometemos el código fuente a un análisis de código estático con un software utilizando heurística para identificar posibles vulnerabilidades del sistema.

Este análisis de código nos ayuda a detectar errores como:

  • Problemas con las funciones del aplicativo.
  • Prevención de posibles problemas potenciales que puedan afectar en un futuro al ciclo de vida del software.

Al hacer este análisis de código podemos anticipar posibles problemas antes de que se hagan realidad, por lo que supone un gran ahorro de costes para la entidad. Si nos anticipamos, podemos enderezar la situación antes de que se convierta en un verdadero problema.

Para realizar este análisis de código, nosotros trabajamos con un sistema automatizado. Además, aunque hagamos un análisis automatizado, siempre revisamos de forma manual el resultado emitido por la aplicación de auditoría de seguridad, ya que se pueden dar casos de falsos positivos que habrá que comprobar. 

En Innovae utilizamos una herramienta integral de detección y eliminación de malware implementada en nuestros servidores. Emplea inteligencia artificial para detectar todo tipo de malware en todo tipo de plataformas: WordPress, PrestaShop, Drupal…

Esta herramienta permite aumentar la seguridad de dos maneras:

  • Actuando como escudo protector al identificar posibles vulnerabilidades del sistema
  • Identificando con precisión el código malicioso.

Para analizar la web resultante del código y la base de datos utilizamos un programa externo que analiza las vulnerabilidades de la metodología OWASP. Este programa nos permite auditar las webs inspeccionando y manipulando el tráfico HTTP/HTTPS con el fin de identificar vulnerabilidades potenciales en dicha plataforma. 

Con nuestra metodología, empleamos una herramienta profesional que permite realizar diferentes pruebas:

  • Análisis de sistemas de autenticación.
  • Posibilidad de lanzar varios ataques a la vez.
  • Análisis pasivos.
  • Elemento flotante.
  • Análisis automáticos.
  • Posibilidad de comprobar todas las peticiones y respuestas entre cliente y servidor.

En Innovae la utilizamos para pruebas de penetración, “atacando” el servidor online donde se encuentra la web haciendo peticiones GET y POST, de forma que se detecten posibles vulnerabilidades en la aplicación.

Es muy importante hacer esto con cuidado y contando con el permiso previo de la entidad. Si no solicitamos este permiso podrían saltar las alertas de ataque web en el servidor que aloje la web que estemos analizando.

Utilizamos un escudo que bloquea los intentos de accesos sospechosos. Este firewall proporciona protección contra diferentes ataques y además permite monitorizar el tráfico HTTP, realizando un análisis en tiempo real sin necesidad de hacer cambios en la infraestructura existente.

Este análisis en tiempo real se puede consultar a través de la consola de administración de la propia herramienta. Dicha consola facilita la recopilación de registros de monitorización y alertas en tiempo real, así como opciones automatizadas de mantenimiento.

La herramienta que utilizamos permite realizar diferentes análisis:

  • Filtrado de Peticiones
  • Técnicas Anti-evasión
  • Comprensión del protocolo HTTP
  • Post Payload análisis
  • Audit Logging
  • HTTPS Filtering
  • Compressed content Filtering
  • Byte range verification

La herramienta que empleamos en este caso nos permite proteger todo tipo de plataformas web (páginas web, foros, blogs, etc.), evitando un alto número de ataques.

En Innovae apostamos por la calidad en todos nuestros procesos, pero cuando se trata de la seguridad de las plataformas de nuestros clientes, nos esforzamos aún más si cabe. Por ello, utilizamos todo tipo de herramientas probadas y un proceso establecido para que no queden resquicios en la estrategia de ciberdefensa de nuestros clientes.

Si la web de tu entidad puede estar teniendo problemas de seguridad, no tienes la tranquilidad de tener a raya los ciberataques o quieres estar seguro de que la información sensible de tus clientes está a salvo en la nube, lo mejor es que te pongas en contacto con nosotros para que apliquemos buenas prácticas de seguridad web y estudiemos tu caso concreto.

Puedes hacerlo a través del formulario de contacto o bien enviando un email a comunicacion@innovae.com

¿Te preocupa la ciberseguridad? Te ayudamos a proteger la información sensible de tu web

¡Contacta con nosotros y haremos una auditoría de ciberseguridad para comprobar que tu proyecto digital está a salvo! Haz click en la flecha y contacta con nosotros.

Leave a comment