¿Qué es una auditoría a una aplicación web?

febrero 20, 2021

En este entorno de migración a la nube y pandemia mundial, una de las superficies que presenta más riego de sufrir ciber ataques en las empresas son las aplicaciones o portales web.

Las aplicaciones web internas y externas son ahora una parte importante de los negocios modernos. Algunas de las empresas más grandes del mundo nacieron de una aplicación web (eg. Facebook y Google), y las plataformas web son fundamentales para el comercio, las finanzas y el gobierno.

Es por eso que realizar una auditoría de seguridad a las aplicaciones web puede resultar crítico para la continuidad del negocio.

Básicamente se busca detectar vulnerabilidades en las aplicaciones o sistemas que pudieran significar la interrupción de su operación, el acceso de ciber delincuentes a la red o la fuga de datos (data breach).

Web Application Security Assessment

Para esto es necesario realizar pruebas con y sin autenticación de usuario, dentro y fuera del firewall o WAF para asegurarnos de descubrir todas las vulnerabilidades.

Entre las actividades que realizamos durante la auditoría de seguridad están;

  • Revisión de políticas y estándares de seguridad (OWASP)
  • Identificación y verificación (CVSS*) de vulnerabilidades como Cross- site Scripting, Inyección SQL, Path Traversal, entre otras.
  • Pruebas de penetración (Pen Testing)
  • Reportes con recomendaciones y soluciones para remediar las vulnerabilidades detectadas.
  • Reportes de cumplimiento – OWASP Top 10, CWE Top 25, ISO 27001, entre otros.

¿Qué tan frecuente se debe realizar una auditoría de seguridad a una aplicación web?

La recomendación mínima para realizar esta evaluación (assessment) se puede resumir en: Cada vez que se realice una actualización importante a la aplicación o sistema. Cada vez que se integre una nueva funcionalidad o servicio si es posible.

Penetration Testing

En la actualidad la auditoría de seguridad a las aplicaciones se ha incorporado al ciclo de Desarollo-Operación (DevOps). Aplicando el nuevo modelo DevSecOps.

Modelo DevSecOps

* CVSS (Common Vulnerability Scoring System) – estándar de la industria para evaluar la gravedad de las vulnerabilidades de seguridad de un sistema informático.

Contáctanos para que conversemos sobre la auditoría a sistemas y aplicaciones web.

Cyberseguridad México © 2021

Publicaciones relacionadas: