Tres guías de seguridad publicadas en OWASP que deberías conocer
Agosto 8, 2017
0
Mucha gente desconoce la cantidad de información útil, guías de seguridad y materiales que se esconden en la gran maraña que conforma el proyecto OWASP (Open Web Application Security Project) que en castellano vendría a ser Proyecto abierto de seguridad en aplicaciones web aunque engloba muchísimas cosas más allá de mejorar la seguridad de las aplicaciones web aunque este fuera su punto de partida hace más de una década. La página oficial del proyecto que engloba todo es: www.owasp.org. En Palabra de hacker dediqué un ciberdebate especial para conocer desde dentro el proyecto OWASP gracias a la participación de miembros destacados de diferentes capítulos locales que colaboran día tras día en esta comunidad. Uno de los invitados fue Rafael Sánchez (@R_a_ff_a_e_ll_o) uno de los líderes de OWASP Madrid que es Ingeniero de sistemas de la información, certificado CISM y CISA y trabaja como analista de Seguridad Informática implicado en proyectos técnicos de seguridad además de ser cofundador de la startup MrLooquer y colaborar en proyectos de Machine Learning aplicados a la detección de todo tipo de amenazas a nivel de tráfico de red. El caso es que durante el debate salieron a relucir varios de estos documentos de interés que se pueden encontrar en este proyecto más allá del archiconocido OWASP TOP TEN que recoge las diez principales vulnerabilidades o riesgos de seguridad más importantes en el mundo de la seguridad web y que se actualiza cada cuatro años aunque los riesgos que copan el podium permanecen inmóviles una vez tras otra. Rafael hizo un repaso por tres guías de seguridad no tan conocidas pero que pueden resultar de mucha ayuda:
  • La Guía de seguridad en aplicaciones web para CISOs que puede ayudar a los máximos responsables de seguridad de la información a gestionar los riesgos de seguridad en aplicaciones web al plantear en la guía la exposición a amenazas emergentes y los requisitos que hay que cumplir.
Además de estas guías de seguridad, Rafael propone revisar otra serie de utilidades y recursos disponibles en el proyecto OWASP que pueden resultar de interés tanto a profesionales como a personas que están comenzando en el terreno de la seguridad ya que tener un paso a paso, una serie de pruebas a seguir y/o contar con una plataforma con entorno controlado de pruebas puede ayudar a quien se lo proponga a ampliar su conocimiento para desarrollar software y aplicaciones web con mayor seguridad. A continuación está disponible tanto el minivideo como el podcast con todas estas guías de seguridad y sugerencias así como la transcripción literal de lo comentado por Rafael aprovechando los subtítulos que he creado para el vídeo como siempre hago en las entrevistas y en estas pequeñas píldoras de información para ayudar a las personas con dificultades auditivas a que se aproximen también a la ciberseguridad de tú a tú de manera sencilla. 

Vídeo

Podcast

 

Guías de seguridad en OWASP recomendadas por Rafael Sánchez

Respecto a documentación, quizás sea porque bueno cuando yo empecé en el mundo de la seguridad hace ya bastantes años sí que me resultó muy útil y es el Testing Guide o sea la Guía de pruebas que va por la versión cuatro y es un documento increíble. Es un documento muy extenso, tampoco es una guía exhaustiva de todas las pruebas que hay que hacer pero yo creo que al final muchísimas veces los que hemos estado haciendo hacking y pentesting hay una cosa de hecho que se dice al principio de la guía y es que bueno pues probar la seguridad no debe ser ningún secreto ni magia oscura y simplemente tiene que ser algo más abierto y más accesible para que todo el mundo pudiera entender cómo se prueba, cómo se hace todo esto y esta guía para mí es muy ilustradora en este sentido, que hace entendible a cualquier persona cómo probar la seguridad de una aplicación.

También me gustaría nombrar por ejemplo dos que están en nivel medio de madurez que por ejemplo es Application Security Guide for CISOs, es decir, para responsables de seguridad. Probablemente esa guía no sea tan técnica y cualquier persona que esté en el mundo de la seguridad pero tenga algún rol no tan cerca de la parte técnica, pues estas guías también le pueden ser muy útiles incluso luego también enriquecerla ¿no? Y luego el Top ten pero de los riesgos de privacidad. Es un proyecto OWASP Top 10 Privacy Risks Project y también es muy super interesante porque al final la privacidad es algo que nos interesa a todos y es un proyecto que se engloba también dentro de OWASP y yo creo que cualquier persona puede, primero consultarlo y luego aportar no.

Mutillidae 2 Project: un proyecto indicado para personas que están aprendiendo

Entonces al final es una cantidad tremenda que cada vez va creciendo más y de hecho en la parte de Incubator que se llama hay muchísimos proyectos que están creciendo y que están teniendo una calidad enorme y que tratan muchísimas partes y muchísimos ámbitos del mundo de la seguridad.

Para empezar en el mundo de la seguridad también hay proyectos que están específicamente pensados y orientados a personas que estén aprendiendo. Por ejemplo pero por nombrar alguno vale el Mutillidae 2 Project que ahora mismo está a nivel intermedio pero que yo creo que ya está fenomenal es un proyecto que es super útil para alguien que esté empezando y que de forma práctica quiera trastear como decimos nosotros, ponerse manos a la obra y a probar cosas de seguridad sobre en un entorno controlado y es una plataforma con sus vulnerabilidades cuya finalidad es que precisamente el testeador, el que está probando, el que está analizando la seguridad web de una determinada aplicación pues pruebe sus conocimientos y ponga en práctica todas estas metodologías y todas estas pruebas.

Pon el nombre de una vulnerabilidad web acompañado de OWASP y ¡bingo!

Y por otro lado si alguna vez alguien tiene cualquier duda de por ejemplo una determinada vulnerabilidad web en qué consiste pues desde luego poner OWASP y el nombre de la vulnerabilidad (en un buscador) va a ir dirigido directamente a un enlace con una información muy útil y muy práctica que puede utilizar para entender y para aprender. De hecho es tan útil y tan práctica que en muchísimos informes de resultados de proyectos profesionales al final se incluyen estos enlaces como apoyo y soporte de dar fe incluso de qué es la información que se está presentando en ese informe profesional. Entonces en su conjunto OWASP es super valioso en todos los sentidos pero desde luego es un punto tanto para empezar como para continuar.

 

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Ciberdebate completo sobre OWASP.

¿Te unes al conocimiento innovador para recibir mis novedades por newsletter?

Nombre

Correo electrónico

He leído la Política de Privacidad y acepto expresamente los términos y condiciones.

AVISO LEGAL - PRIVACIDAD - COOKIES

¿Te gustaría seguir el blog por correo electrónico?

Si deseas recibir notificaciones al instante de las nuevas entradas en tu correo, aquí puedes hacerlo. Al hacer clic en el botón "Seguir" declaras expresamente que has leído y aceptas la Política de Privacidad y el Aviso legal de mi web.

Yolanda Corral
Licenciada en Periodismo, especializada en televisión, YouTube, redes sociales y contenidos online con un ojo puesto en la seguridad digital. Máster en Community Management y redes sociales en la empresa. Fundadora de las jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.

Curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación, la transformación digital y la seguridad digital, amante del social media y coleccionista de momentos. Puedo ayudarte a conectarte a ti o a tu negocio con el mundo a través de la combinación YouTube y los medios sociales = YoComunico/Comunicamos y trabajar contigo como formadora y presentadora de eventos presenciales y online. Mi nick digital es yocomu. ¡Búscame en las redes!
Yolanda Corral on GoogleYolanda Corral on InstagramYolanda Corral on LinkedinYolanda Corral on TwitterYolanda Corral on Youtube

Déjame un comentario. ¡Gracias!