Controles de Seguridad en el Desarrollo de Software bajo ISO 27001

¿Qué es el control de adquisición, desarrollo y mantenimiento del software?

El control de adquisición, desarrollo y mantenimiento del software es un proceso esencial para garantizar que los sistemas de información sean operativos y seguros, ya sea que los adquieras de terceros o los desarrolles internamente. Este proceso abarca desde la definición de requisitos hasta las pruebas de aceptación de usuarios. A través de un conjunto de trece controles, se delimita cómo se deben guiar las actividades relacionadas con el software en tu organización.

¿Cómo se definen los requisitos y especificaciones de seguridad?

Es crucial que, como líder de gestión o implementación del sistema, se establezcan directrices claras durante el análisis de requisitos. Debes estar involucrado desde el comienzo del proyecto para garantizar que el desarrollo de software cumple con los lineamientos de seguridad desde el inicio. Involucrarte tarde en el proceso puede resultar en problemas de seguridad que podrían haberse mitigado con anticipación.

¿Cómo asegurar los servicios de aplicaciones y redes públicas?

Este control es vital dependiendo de la arquitectura de tu aplicación. Los servicios consumidos fuera de la operación deben estar claramente definidos, así como los mecanismos de seguridad para su adquisición. Esto asegura que cualquier intercambio de datos a través de servicios web o buses de datos sea seguro y eficiente.

¿Qué implica la política de desarrollo seguro?

La política de desarrollo seguro es un documento que define las directrices y consideraciones para el desarrollo de software. Es parte esencial de las auditorías y debe estar socializada con el área responsable del desarrollo. Asegúrate de realizar auditorías internas aleatorias para verificar que se cumpla esta política.

¿Cómo se gestionan los cambios en el software?

Es imprescindible definir procedimientos claros de control de cambios. Cada solicitud de cambio debe ser documentada, soportada y aprobada antes de ser implementada. Esto evita que cambios sin soporte afecten la funcionalidad o seguridad del sistema.

¿Qué consideraciones tener en la revisión técnica de aplicaciones?

Las revisiones técnicas deben garantizar que los cambios no afecten negativamente el rendimiento del sistema operativo. Pruebas de estrés y cargas deben ser planificadas y realizadas para optimizar los recursos del sistema operativo y mantener un alto nivel de eficiencia.

¿Cuáles son los principios de ingeniería de sistemas seguros?

Aplica buenas prácticas de ingeniería de sistemas seguros y capacita a tu equipo de desarrollo en la importancia de éstas. Trabaja con expertos para garantizar que tu equipo también entienda los criterios de seguridad en el contexto de su trabajo específico.

¿Cómo gestionar los entornos de desarrollo seguro?

Los entornos de desarrollo no deben ser demasiado permisivos. Limita accesos a internet y puertos abiertos para evitar problemas cuando las aplicaciones se traduzcan a ambientes de pruebas o producción más restrictivos.

¿Es aplicable la externalización del desarrollo de software?

Sí, las consideraciones de seguridad también aplican a terceros. Define claramente los lineamientos contractuales y asegúrate de que las auditorías sean posibles para verificar el cumplimiento de estos estándares por parte de los proveedores.

¿Son suficientes las pruebas funcionales y de aceptación?

Las pruebas no solo deben ser técnicas; también deben cumplir con los requerimientos funcionales de los usuarios. Implementa pruebas de aceptación en ambientes separados y asegúrate de que los usuarios estén bien capacitados para detectar posibles problemas de seguridad o funcionalidad.

¿Cómo proteger los datos de prueba?

Evita utilizar datos reales en ambientes de desarrollo y pruebas. Implementa un proceso de truncamiento de datos para prevenir que la información sensible sea comprometida en procesos de desarrollo y pruebas. Esto ayuda a proteger la privacidad y seguridad de los datos de tu organización.