Proyectos de OWASP para Seguridad en Desarrollo de Software

Clase 14 de 19 • Curso de Estrategia de Seguridad Informática para Empresas

Contenido del curso

Importancia de la seguridad de la información

Componentes clave de un programa de seguridad de la información

Gestión de riesgos

Continuidad del negocio

Software seguro

Diseño del equipo

Caso de estudio Platzi

19
Certificación ISO 27001: Implementación y Mejora Continua en Platzi
08:39 min

Tomar examen

Resumen

Llevar controles de seguridad de la información al mundo real del desarrollo de software puede parecer abrumador. Existen marcos como ISO o NIST, pero la pregunta clave siempre es la misma: ¿cómo se traduce todo esto en acciones concretas? Una respuesta ampliamente adoptada por la industria es el proyecto OWASP, una fundación que reúne a miles de expertos y ofrece recursos abiertos para construir y evaluar software seguro.

¿Qué es OWASP y por qué es relevante para la seguridad del software?

El Open Worldwide Application Security Project es una fundación sin ánimos de lucro dedicada a mejorar la seguridad del software [0:13]. Originalmente se llamaba Open Web Application Security, porque su objetivo inicial era hacer de la web un lugar más seguro. Sin embargo, la comunidad creció tanto que hoy abarca mucho más: aplicaciones móviles, internet de las cosas e incluso desarrollo con inteligencia artificial [0:38].

Sus características principales incluyen:

Proyectos de código abierto dirigidos por la comunidad.
Decenas de miles de miembros alrededor del planeta.
Más de doscientos cincuenta capítulos locales en ciudades como Bogotá, Miami o Ciudad de México [1:07].
Conferencias educativas, meet-ups y formación liderada por especialistas del sector.

¿Cómo clasifica OWASP sus proyectos?

OWASP organiza sus proyectos según tipo y madurez [1:25]. Por tipo, se dividen en herramientas, documentación —guías, listas de verificación, buenas prácticas— y código fuente abierto. Es importante destacar que no se consideran estándares formales, sino recomendaciones y guías prácticas.

Por nivel de madurez existen tres categorías:

Proyectos emblemáticos (flagship projects): son estables y ampliamente adoptados en la industria. Representan el valor estratégico de OWASP [1:48].
Proyectos de laboratorio: ya entregan valor, están en revisión activa y sus desarrolladores reciben patrocinio para acelerar la entrega [2:05].
Incubadora: el ambiente experimental donde surgen hackatones y lluvias de ideas [2:16].

¿Cuáles son los proyectos más populares de OWASP?

Estos proyectos constituyen un componente clave dentro de cualquier programa de seguridad enfocado en desarrollo o adquisición segura de software [2:23].

¿Qué herramientas ofrece OWASP para desarrollo y evaluación?

OWASP Top Ten: el proyecto emblemático por excelencia. Es una lista que identifica las diez vulnerabilidades más críticas y que se ha ramificado para cubrir distintos contextos [2:35].
ASVS (Application Security Verification Standard): permite realizar una especie de auditoría para determinar qué tan seguro es el software que se está adquiriendo [2:47].
Security Testing Guide: enfocado en pruebas de intrusión o penetration testing, para validar si el software en desarrollo o en producción es realmente seguro [2:57].
SAMM (Software Assurance Maturity Model): el modelo de madurez del aseguramiento del software. No solo evalúa software para adquirirlo, sino que integra seguridad desde la definición de requisitos funcionales, lo que lo convierte en uno de los proyectos de mayor importancia para un programa de seguridad [3:12].
ModSecurity Core Rule Set: un proyecto emblemático utilizado por grandes fabricantes de firewalls y soluciones de gestión de amenazas [3:30].
ZAP (Zed Attack Proxy): herramienta que permite hacer evaluaciones de seguridad interceptando tráfico de red [3:42].
Web Security Testing Framework: marco diseñado específicamente para evaluaciones de seguridad en aplicaciones web [3:50].

¿Por qué adoptar OWASP en tu estrategia de seguridad?

La fortaleza de OWASP radica en que combina herramientas, documentación y comunidad en un ecosistema completamente abierto. Esto significa que cualquier organización, sin importar su tamaño, puede aprovechar estos recursos para desarrollar software más seguro o evaluar lo que ya tiene en producción [3:55]. Si estás construyendo un programa de seguridad de la información y necesitas un enfoque pragmático, OWASP es el punto de partida que conecta los controles teóricos con la práctica diaria.

¿Ya utilizas alguno de estos proyectos en tu organización? Comparte tu experiencia en los comentarios.

Comentarios

Juan Carlos Gutiérrez Ayala

student•

Open Wordwide Application Security Project: fundación sin ánimo de lucro para mejorar la seguridad del software.

Se extendió a aplicaciones móviles, IoT, incorporación de inteligencia artificial.

Proyectos de código abierto.
Decenas de miles de miembros, 250 secciones o capítulos.
Formación y charlas.
Clasifica los proyectos en: herramientas, documentación y código.

Proyectos según el nivel:

Emblemáticos.
Laboratorio (han producido entregables de valor para revisar).
Incubadora (experimental).

Proyectos populares

Top 10
Application security verification standard.
Security testing guide.
SAMM - Modelo de madurez para aseguramiento del software.
Modsecurity Core Rule Set (WAF) - Empleado por grandes fabricantes de seguridad.
ZAP - Zend Attack Proxy.
Offensive Web Testing Framework

Iriquel Bernabel

student•

Gracias!

Eloy Chávez Dev

student•

Introducción a OWASP: El Proyecto Abierto de Seguridad de Aplicaciones Web

OWASP (Open Web Application Security Project) es una organización sin fines de lucro, global y de código abierto, dedicada a mejorar la seguridad de las aplicaciones web. Su enfoque principal es la creación de recursos gratuitos, herramientas y documentación para ayudar a las organizaciones a desarrollar, adquirir, implementar y mantener aplicaciones web seguras.

¿Qué ofrece OWASP?

OWASP Top 10: Una lista de las diez vulnerabilidades web más críticas y comunes, actualizada periódicamente por la comunidad OWASP.
Guía de Desarrollo OWASP: Una guía integral que cubre el ciclo de vida del desarrollo de software (SDLC) seguro para aplicaciones web.
Guía de Testing OWASP: Una guía completa para las pruebas de seguridad de aplicaciones web, que incluye metodologías, herramientas y recursos.
Proyectos OWASP: Una amplia colección de proyectos de código abierto desarrollados por la comunidad OWASP, que abarcan temas como la gestión de vulnerabilidades, la autenticación segura y la protección de APIs.
Eventos OWASP: Capítulos locales OWASP organizan eventos y reuniones para fomentar la colaboración y el intercambio de conocimientos sobre seguridad de aplicaciones web.
Capacitación OWASP: Capacitaciones y certificaciones OWASP para desarrolladores, evaluadores de seguridad y profesionales de la seguridad de la información.

MARIA TERESA PANIAGUA RIVERA

student•

Gracias

MARIA TERESA PANIAGUA RIVERA

student•

gracias

Proyectos de OWASP para Seguridad en Desarrollo de Software

Importancia de la seguridad de la información

Implementación de un Programa de Seguridad de la Información

Seguridad de la Información: Implementación y Estrategia Empresarial

Componentes clave de un programa de seguridad de la información

Componentes Clave de un Programa de Seguridad de la Información

Elementos Clave de Políticas de Seguridad de la Información

Gestión de Incidentes: Ciclo de Vida y Mejores Prácticas

Gestión de Vulnerabilidades en Seguridad Informática

Gestión de riesgos

Gestión de Riesgos en Seguridad de la Información

Gestión Holística del Riesgo en Organizaciones

Evaluación de Riesgos en Seguridad de la Información

Gestión de Riesgos y Controles ISO 27001 y NIST 800-53

Continuidad del negocio

Continuidad del Negocio y Recuperación ante Desastres

Análisis de Impacto al Negocio y Continuidad Operativa

Software seguro

Desarrollo Seguro de Software: Integración de Seguridad en el Ciclo de Vida