👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.5.1.1, A.14.1.2, A.14.2.1, A.14.2.6, A.14.2.7, A.14.2.8, A.14.2.9
ISO 27001 en su versión 2022: A.5.1, A.8.25, A.8.26, A.8.28, A.8.29, A.8.30, A.8.31
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer los lineamientos necesarios para garantizar que tus desarrollos de software se realicen usando las mejores prácticas de seguridad.
💡 Las prácticas de desarrollo seguro te permiten disminuir las vulnerabilidades que pueden poner en riesgo tus sistemas y la información que contienen.
¿Qué tengo que hacer? 🚀
Antes de comenzar a trabajar esta política, te recomendamos ya haber realizado la Capacitación de Desarrollo Seguro que te ofrece Hackmetrix.
Recuerda que puedes enviarla desde el módulo de Capacitaciones o desde el módulo de Personal (si es que deseas enviarla solo a ciertos colaboradores) ✨.
Ahora bien, para realizar este documento te sugerimos considerar los siguientes aspectos:
Seguridad en el desarrollo, ya sea in-house o tercerizado, mediante el uso de herramientas y metodologías adecuadas y seguras.
Si cuentas con desarrollo tercerizado, de igual forma es muy importante que conozcas cuáles son los criterios y controles de seguridad que utiliza tu proveedor. De ser necesario, comunica esta política y todos los lineamientos de seguridad pertinentes para garantizar que tu proveedor se encuentre alineado a ellos.
Seguridad en los servicios expuestos a redes, de forma que se pueda proteger la información que es almacenada, transferida y/o procesada en sistemas abiertos a redes públicas.
Seguridad en los ambientes de desarrollo, entendiendo la importancia de tener una adecuada segregación de los entornos de desarrollo, pruebas y producción, de manera que el código sea creado y ejecutado de forma segura.
Aplicación de pruebas de aceptación, para verificar que el software cumple las expectativas del cliente y de los usuarios finales, y que su comportamiento es el esperado. Algunos tipos de pruebas de aceptación son:
Pruebas de Aceptación del Usuario (UAT, User Acceptance Testing). Aquí el usuario usa el producto de software para asegurar que satisface sus expectativas como usuario, y que le proporciona los beneficios esperados.
Pruebas de Aceptación Operativa (OAT, Operational Acceptance Testing). Aquí se examina la seguridad, escalabilidad, velocidad, rendimiento, comportamiento bajo cargas máximas, capacidad de recuperación ante fallos, generación de copias de seguridad, restauración, equilibrio de la carga, y todo lo necesario para validar que el producto de software funciona correctamente.
Pruebas de aceptación de cumplimiento, para garantizar que el producto de software está alineado a las regulaciones aplicables.
Pruebas Alfa (aceptación interna) y Beta (aceptación externa o de campo), que tienen como objetivo recopilar información sobre el uso real del producto de software antes de lanzarlo al público en general.
Entre otras pruebas.
Las prácticas de seguridad deben ser aplicadas durante todas las etapas del ciclo de vida de un desarrollo, las cuales suelen ser las siguientes:
Definición del requerimiento o funcionalidad.
Diseño del requerimiento o funcionalidad.
Desarrollo del código.
Pruebas al requerimiento o funcionalidad.
Implementación del requerimiento o funcionalidad (es decir, el paso a producción).
Revisión y monitoreo del funcionamiento del código.
Estas etapas, y todos los pasos a realizar en cada una de ellas lo trabajarás en el documento Metodología de Ciclo de Vida de Desarrollo, que se encuentra dentro del plan de acción de Hackmetrix.
Adicional a todos los aspectos previamente mencionados, un desarrollo seguro eficiente debe involucrar una protección contra vulnerabilidades, capacitación periódica a los involucrados en el proceso, y una gestión adecuada de los proyectos, integrando y cumpliendo siempre los requisitos de seguridad pertinentes.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Toma nuestra Capacitación de Desarrollo Seguro y asegúrate de que tus desarrolladores cuenten con los conocimientos necesarios para ejercer sus funciones y cumplir los requisitos de seguridad.
Mantente informado sobre nuevas prácticas, nuevas vulnerabilidades y las noticias más recientes en ciberseguridad. Para esto, te recomendamos leer nuestras Hacknews 😉.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.