10. Explorando los fundamentos de la Seguridad Informática
Continuamos abordando los diferentes tipos de pruebas. Tras hablar sobre las pruebas Funcionales, las Automatizadas y las de Rendimiento o Performance, llega el momento de enfocarnos en el Testing de Seguridad.
La realidad de la seguridad de aplicaciones
En la vertiginosa era digital actual, la seguridad de las aplicaciones se ha vuelto esencial, es por esto que no debe pasarse por alto este aspecto crítico. En este contexto, la formación de testers en Seguridad Informática emerge como un factor fundamental para detectar y abordar posibles vulnerabilidades.
Se entiende por vulnerabilidad una falla o debilidad en el diseño, implementación, operación o gestión de un sistema que podría ser aprovechada para violar la política de seguridad del sistema.
En muchas ocasiones, las empresas, especialmente las más pequeñas, carecen de equipos especializados en Seguridad Informática, centrándose a menudo en aspectos como la seguridad de redes y sistemas.
En esta nota intentaremos comprender qué sucede cuando el Testing no aborda la seguridad y la importancia de que los testers adquieran conocimientos en Seguridad Informática a la vez que cultivan una mentalidad proactiva para anticipar posibles amenazas.
Seguridad Informática y Seguridad de la Información
La Seguridad Informática (también conocida como ciberseguridad) ha evolucionado hacia un enfoque más holístico: la Seguridad de la Información. Este nuevo paradigma va más allá de los aspectos tecnológicos, abarcando áreas como planes de contingencia, continuidad de negocios, leyes y normas.
Es crucial comprender la distinción entre Seguridad Informática y Seguridad de la Información. Mientras la primera se ocupa de la protección táctica y operativa, la segunda además de estos aborda riesgos, amenazas y buenas prácticas a nivel estratégico.
Ambas comparten el objetivo de salvaguardar la información, pero es en la Seguridad de la Información donde se trascienden los límites tecnológicos. Por ejemplo un post it (nota adhesiva) con una contraseña a la vista de todos, es un problema de Seguridad de la Información, ya que trasciende el mundo digital.
La Seguridad de la Información se apoya en la confidencialidad, integridad y disponibilidad. Estos pilares aseguran que la información sea accesible sólo por entidades autorizadas, se mantenga precisa y completa, y esté disponible cuando se necesite.
Distinguir entre información sensible y no sensible es esencial. En general, el tester debe fomentar la especificación de requisitos que permitan discernir entre un comportamiento adecuado o no. Particularmente, en estos casos, qué información debe ser resguardada con mayor celo.
Contar con sentido común y lógica para comprender estos casos, además de tener conocimientos que le permitan detectar vulnerabilidades técnicas son de las habilidades más valoradas e importantes.
El arte de pensar como un atacante
La fuga de información se convierte en uno de los mayores temores. Además de identificar vulnerabilidades evidentes, un tester de Seguridad Informática debe tener la capacidad de anticiparse a posibles ataques, cultivando la mentalidad de un hacker ético.
En los cursos de Seguridad Informática y Testing del CES, se hace especial énfasis en este punto buscando formar a los alumnos en el desarrollo de dicha mentalidad siguiendo las metodologías para pruebas de OWASP.
El hacking ético es aquel en el que se utilizan habilidades y herramientas de hacking para evaluar la seguridad de un sistema informático o de una red, de manera legal y ética. Su objetivo es identificar y corregir posibles vulnerabilidades antes de que sean explotadas por hackers malintencionados.
Así como en el Testing, donde no se puede asegurar la ausencia total de fallos, en seguridad tampoco se garantiza que un sistema sea totalmente seguro. La clave radica en la constante formación, la capacidad de anticiparse a amenazas y comprender que la seguridad es un proceso en evolución constante.
Si tiene conocimientos de buenas prácticas o problemas más comunes, un tester puede identificar distintos tipos de problemas de seguridad simplemente con el hecho de estar alerta, sin necesidad de ser experto en ciberseguridad. Por ejemplo, podría notar sin mucho esfuerzo que no se exijan buenas prácticas de contraseñas, o en caso que pueda acceder a esta de alguna manera, comprobar que no se está almacenando de forma segura.
Nuestro abordaje
Además de la capacitación en Seguridad Informática que mencionamos, brindamos el servicio de Testing de Seguridad, mediante el cual ayudamos a las empresas a conocer, mitigar y prepararse ante riesgos de Seguridad Informática o de la Información.
Para esto, llevamos adelante distintos tipos de pruebas, auditorías y consultorías para cubrir las necesidades en esta materia, formando equipos mixtos con Guayoyo, empresa dedicada enteramente a la ciberseguridad. Para finalizar esta nota, le pedimos una reflexión a Edgar Salazar, uno de sus Cofundadores, a modo de conclusión:
“La ciberseguridad en el proceso de desarrollo y pruebas de software es un enfoque que no solo minimiza vulnerabilidades, sino que también garantiza la entrega de software resistente a ataques. Priorizar la ciberseguridad en estos procesos es esencial para construir aplicaciones robustas y fiables, en un entorno digital cada vez más amenazante y en una sociedad más digital.”
¡Gracias por tu lectura! ¿Qué temática será la próxima que abordemos? Recordá que recibimos tus sugerencias aquí o en nuestras redes. ¡Hasta la próxima!
