¿Qué es una auditoría a una aplicación web?

En este entorno de migración a la nube y pandemia mundial, una de las superficies que presenta más riego de sufrir ciber ataques en las empresas son las aplicaciones o portales web.

Las aplicaciones web internas y externas son ahora una parte importante de los negocios modernos. Algunas de las empresas más grandes del mundo nacieron de una aplicación web (eg. Facebook y Google), y las plataformas web son fundamentales para el comercio, las finanzas y el gobierno.

Es por eso que realizar una auditoría de seguridad a las aplicaciones web puede resultar crítico para la continuidad del negocio.

– 5 consejos de ciber seguridad para pequeñas empresas

Básicamente se busca detectar vulnerabilidades en las aplicaciones o sistemas que pudieran significar la interrupción de su operación, el acceso de ciber delincuentes a la red o la fuga de datos (data breach).

Para esto es necesario realizar pruebas con y sin autenticación de usuario, dentro y fuera del firewall o WAF para asegurarnos de descubrir todas las vulnerabilidades.

Entre las actividades que realizamos durante la auditoría de seguridad están;

  • Identificación y verificación (CVSS*) de vulnerabilidades como Malware, Cross- site Scripting, Inyección SQL, entre otras.
  • Pruebas de penetración (Pen Testing) con herramientas automatizadas.
  • Reportes especializados de cumplimiento – CWE 2011, ISO/IEC 27001, NIST, OWASP Top, Sarbanes-Oxley, entre otros.

¿Qué tan frecuente se debe realizar una auditoría de seguridad a una aplicación web?

La recomendación mínima para realizar esta evaluación (assessment) se puede resumir en: Cada vez que se realice una actualización importante a la aplicación o sistema. Cada vez que se integre una nueva funcionalidad o servicio si es posible.

En muchas empresas la auditoría de seguridad a las aplicaciones se ha incorporado al ciclo de Desarollo-Operación (DevOps). Dando lugar al modelo DevSecOps.

Modelo DevSecOps

* CVSS (Common Vulnerability Scoring System) – estándar de la industria para evaluar la gravedad de las vulnerabilidades de seguridad de un sistema informático.

– Evaluación de vulnerabilidades en ciberseguridad

Contáctanos para que conversemos sobre la auditoría a sistemas y aplicaciones web.

Cyberseguridad México © 2021