jueves, 17 de septiembre de 2015

Rational Appscan, una herramienta para hacer pruebas de seguridad

IBM Rational Appscan es una herramienta de escaneo automática que analiza las vulnerabilidades de las aplicaciones web, encontrando fallas de seguridad y generando un reporte de acciones sobre ellas.

Rational Appscan sigue el siguiente flujo de trabajo: 

image

Configuración: Se tendrán que construir la plataforma, el objetivo de las prueba a realizar, el número de páginas involucradas, etc.

Explorar: Se pretende ir buscando todos los enlaces disponibles en el sitio para poder construir una estructura jerárquica.

Se envían peticiones y, en función de las respuestas, identifica los lugares donde hay margen para la vulnerabilidad. 

Prueba: En esta etapa, Rational Appscan ataca el sitio para encontrar las debilidades, buscando principalmente los agujeros de seguridad y clasificando la severidad del riesgo.

Se podrán encontrar en el ciclo de prueba nuevos enlaces en la aplicación, por lo cual Rational Appscan comenzará una nueva etapa de exploración. Esto se repetirá hasta que no se encuentren más conexiones.

El número de análisis lo podrá asignar el usuario en la configuración.

Reporte: Cuando concluyan las pruebas, se podrá generar un informe con todos los resultados, el cual incluirá las medidas para poder corregir los problemas.

Estos informes se pueden personalizar para satisfacer sus necesidades.

Las principales características y ventajas de esta herramienta son:

  • Identifica las vulnerabilidades de las aplicaciones y sitios Web.
  • Ofrece pruebas de seguridad como un complemento a las pruebas tradicionales de funcionalidad y rendimiento.
  • Provee recomendaciones para la eliminación de fallas de seguridad.
  • Genera reportes personalizados de acuerdo a las necesidades del proyecto.
  • Hacer pruebas de seguridad de aplicaciones antes de liberarlas.
  • Permite analizar múltiples aplicaciones.
  • Las pruebas pueden programarse para ejecutarse en horas no productivas
  • Los reportes proporcionan un mejor entendimiento del estado de seguridad.
  • Permite visualizar el progreso de la remediación de vulnerabilidades a lo largo del tiempo.
  • Está alineado con estándares internacionales como OWASP.

Rational Appscan nos ayudará a realizar pruebas de seguridad identificando las vulnerabilidades de nuestra aplicación y sugiriendo recomendaciones de reparación de forma tal que se garanticen ciertos niveles de seguridad de la aplicación que está saliendo a producción.


Autora:

Lic. María Eugenia Spadaro

Analista QA

jueves, 3 de septiembre de 2015

ISO/IEC 27001: Sistemas de Gestión de Seguridad de la Información – Origen | Parte III

La norma BS 7799 de BSI aparece en 1995 (precursora de la ISO/IEC 27001). Su objeto era proporcionar a las organizaciones y/o empresas un conjunto de buenas prácticas para la gestión de la seguridad de su información. La primera parte de la BS 7799-1 es una guía de buenas prácticas, para la cual no se estableció originalmente un esquema de certificación. La segunda parte, BS 7799-2, fue publicada en 1998. Dicha norma originalmente es la que estableció los requisitos de lo que inicialmente se conoció como un ISMS, Information Security Management System, en español Sistema de seguridad de la información, SGSI, para ser certificable por una entidad independiente.

Ambas partes de la BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO/IEC, sin cambios sustanciales, como ISO 17799 en el año 2000. Asimismo, en 2002, se revisó la BS 7799-2 para adecuarla a la filosofía de normas ISO de sistemas de gestión.
Las Normas “BS” de la British Standards Institution llevan el prefijo “BS” con carácter internacional. Son el origen de normas actuales como ISO 9001, ISO 14001 u OHSAS 18001.

En el año 2005, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO 17799-2.

En el año 2015, a nivel internacional, se estarán terminando de modificar todas las normativas ISO que llevan las mismas secciones de base y cláusulas, como así también han sido actualizadas. La última de las ISO/IEC de Sistemas de Gestión modificadas ha sido la ISO/IEC 9001.

imagen ISO

En 2007 la ISO 17799 se renombra como ISO 27002:2005.

ISO ha continuado, y aún lo hace, desarrollando otras normas dentro de la serie 27000 que sirvan de apoyo a las organizaciones en la interpretación e implementación de ISO/IEC 27001, que es la norma principal y única certificable dentro de la serie.

En Argentina, este año se publica la ISO-IRAM 27001:2015 y las empresas deberán decidir en el momento de la certificación con cuál ISO lo harán. Y allí nace un interrogante, ¿cuál usar y por qué?Cuestión que dejamos para otra serie de artículos futuros.

Autora:
Ing. Lic. Marcela Meyorín Lorenzo
IT Infraestructure & Security
CISA, Lead Auditor 25999/22301, ITIL v.3 Foundation/ISO-IEC 20000/AI 9001.