22 diciembre 2009

Seguridad en aplicaciones web y gobiernos


El pasado 10 y 11 de Diciembre se celebró el evento IBWAS'09 (Iberic Web Application Security), en el que el tema principal era la seguridad en aplicaciones web. Esta iniciativa fué organizada por los capítulos tanto de España como de Portugal de OWASP, reuniendo a un gran número de protagonistas.  De toda la agenda, lo más esperado era el último de los paneles, que consistía en una mesa-coloquio cuya temática giraba en torno a lo que deberían hacer los gobiernos en el 2010 en lo que concierne a la seguridad en aplicaciones web.



Es algo de lo que hablamos mucho por aquí: falta concienciación en general sobre este tema, y lo peor es que cada vez se confía más en dichas aplicaciones web para realizar muchas tareas importantes de nuestra vida que nos hacen ahorrar colas...pero...¿es preferible pedir una mañana libre y despertarse a las 6AM para coger número o ver como una inyección SQL en un parámetro consigue obtener todos los datos que guardas en una carpeta en el fondo de tu armario?

En ocasiones todo queda en multas, a salir en los medios (pero en la sección de tecnología ¿eh? que hay cosas más importantes por las que preocuparnos, como por ejemplo las narices de la gente...), a ser protagonista en posts de blogs con diferentes capturas de pantalla, tapando con spray negro del paint ciertas columnas de un dump de base de datos, pero a la semana siguiente...




Volviendo a la cuestión que se planteaba en el último panel de IBWAS antes de la clausura, se ha distribuido un comunicado de prensa por parte de la organización resumiendo las conclusiones a las que se llegaron y qué ofrece todo lo que rodea la iniciativa OWASP. No hay que invertir grandes sumas de dinero, tampoco hay que cuadrar mucho presupuesto en esas pestañas del Excel de las compañías que se destinan a tareas de formación: "simplemente", es bajarse un pdf/doc y visitar una wiki...He exagerado, pero ya me entendéis.

A continuación dejo dichas conclusiones:

1. OWASP incita a los gobiernos a trabajar conjuntamente para aumentar la transparencia de la seguridad de aplicaciones web, especialmente con respecto a los sistemas de salud, financieros y todos aquellos en los que la privacidad y confidencialidad de los datos sean fundamentales.

2. OWASP buscará la participación con los gobiernos de todo el mundo para desarrollar recomendaciones en la incorporación de requisitos especificos de seguridad de aplicaciones y el desarrollo de marcos adecuados de certificación en los procesos de adquisición de software en programas gubernamentales;

3. OWASP ofrece su ayuda para aclarar y modernizar las leyes de seguridad informática, permitiendo a los Gobiernos, los ciudadanos y organizaciones a tomar decisiones informadas acerca de la seguridad.

4. OWASP pide a los gobiernos alentar a las empresas para que adopten normas de seguridad de aplicaciones que, de ser implementadas, ayudarán a proteger a todos nosotros de las fallas de seguridad, las cuales podrían exponer información confidencial, permitirían operaciones fraudulentas e incluso incurrirían en responsabilidad jurídica.

5. OWASP se ofrece a trabajar con los gobiernos locales y nacionales para establecer tableros de comando de seguridad de aplicaciones que proporcionen una visibilidad en el gasto y apoyo a la seguridad de aplicaciones.

[+] Listas de correo OWASP-Spain y OWASP-Spanish

4 comments :

Jose Selvi dijo...

Falta, que los jefes den el tiempo necesario para "leer esos wikis", pasar los tests, etc.

Por desgracia el "esto lo quiero para ayer" y el "apáñatelas como quieras pero mañana quiero esto funcionando" son algo muy habitual, y con esos plazos... si casi no tienen tiempo a realizar las pruebas funcionales que deberían, mucho menos las de seguridad.

Yo creo que el problema de las aplicaciones web es muy muy horizontal, desde la persona que hace el presupuesto y el que planifica el proyecto hasta el programador.

Hacer las cosas mal cuesta mucho menos que hacer las cosas bien, y por desgracia aún hay mucha gente que mira solo precio sin importarle demasiado la calidad de lo que compra, más allá de que sea bonito y pueda enseñárselo a sus jefes. Es triste pero es así.

Y después de esta rajada a los jefes es cuando nunca más me contratan en ningún sitio en este país :P

José A. Guasch dijo...

@Jose Selvi, de ahí que en ese cuarto párrafo tuviese que poner lo de que había exagerado, porque al final sabemos que es muy complicado tanto por tiempo, "dinero", etc.

Quizás habría también que luchar por intentar darle más importancia a la seguridad y menos a meter jquerys, tunear la página de facebook y twitter para ser más 2.0, o tener que contratar a mil empresas sólo para que se encarguen del tema gráfico. Se debería equilibrar más la balanza, ya que al final todos los temas son importantes por supuesto, pero sigo pensando que hay que volcar más esfuerzos en ciertos puntos...

Seguiremos soñando, ¡aunque a estas horas ya no se pueda!

Mi nombre dijo...

Y estos de OWASP cuanto dinero quieren embolsarse gracias a mejorar nuestra seguridad?

des dijo...

Pues yo creo que, precisamente, el camino de obligar a algunas medidas básicas por ley es bueno para mejorar la seguridad en el desarrollo. Si hay una ley a cumplir, el jefe que no da tiempo para determinadas pruebas, lo tendrá que hacer por narices. Serviría para que hacer las cosas mal, sí cueste dinero de verdad.

Un saludo