Krypton Solid

La última tecnología en raciones de 5 minutos

Mejores prácticas de seguridad de aplicaciones empresariales: Guía de estudio de CISSP

Seguridad de la aplicación

El examen CISSP cubre 10 dominios, uno de los cuales es la seguridad de las aplicaciones. La seguridad de la aplicación se relaciona con la estructura de la aplicación y los mecanismos de seguridad que se utilizan para controlar el acceso a la aplicación. Para aprobar el examen CISSP, necesitará conocer la arquitectura del software, los conceptos de programación, las interfaces de datos y más. Esta sección de la Guía de estudio de CISSP ofrece recursos y asesoramiento de expertos sobre las mejores prácticas de seguridad de aplicaciones empresariales. Después de revisar estos recursos, pruebe su conocimiento de la seguridad de las aplicaciones empresariales consultando nuestro cuestionario sobre seguridad de las aplicaciones empresariales, escrito por el autor de la guía de exámenes CISSP All-in-one, Shon Harris.

Artículo destacado: Dominio 6, Desarrollo de aplicaciones y sistemas
Las aplicaciones y los sistemas son las tecnologías más cercanas a los datos que los equipos de seguridad empresarial intentan proteger. Este artículo de CISSP Application and System Development Domain 6 detalla cómo se estructuran las aplicaciones y los sistemas, qué mecanismos y estrategias de seguridad se utilizan comúnmente para proteger los datos durante el acceso, procesamiento y almacenamiento, y también aborda algunas de las amenazas y contramedidas de seguridad de aplicaciones empresariales más comunes. .

Seguridad de la aplicación de base de datos: equilibrio de cifrado, control de acceso
Las aplicaciones de bases de datos suelen ser el epicentro de los datos más confidenciales de una empresa, por lo que la seguridad de las aplicaciones de bases de datos es esencial, pero mantener un equilibrio entre la seguridad y el uso comercial puede ser complicado.

En este consejo, Andreas Antonopoulos analiza las estrategias de cifrado para aplicaciones de bases de datos y ofrece algunas de las mejores prácticas para la seguridad de las aplicaciones de bases de datos, sobre todo cómo proteger los datos confidenciales y establecer un equilibrio entre un cifrado sólido y un control de acceso adecuado.

Sección 6 de las PCI DSS: un plan para abordar la seguridad de las aplicaciones
Entre los 12 requisitos del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI) se encuentra un mandato para la seguridad web y de aplicaciones, la Sección 6 de PCI DSS, que exige específicamente que los comerciantes y los emisores de tarjetas de crédito «desarrollen y mantengan sistemas y aplicaciones seguros».

En este consejo, el experto en seguridad Joel Dubin explica por qué los requisitos de la Sección 6 de las PCI DSS son importantes y ofrece consejos sobre cómo una empresa puede cumplir con el mandato.

Lista de los 25 errores de programación principales de SANS: mejores prácticas de seguridad de aplicaciones empresariales
Los directores de proyecto y los desarrolladores deben asegurarse de que el código de la aplicación no incluya errores, y los revisores del código deben prestar especial atención a las vulnerabilidades emergentes y peligrosas de las aplicaciones. La lista de los 25 errores de programación más peligrosos de CWE / SANS, que se publica todos los años, puede ser una gran herramienta para cualquier persona involucrada en el desarrollo de software de computadora.

En este consejo, aprenda cómo la lista de los 25 errores de programación principales de SANS puede proporcionar una excelente lista de verificación de las mejores prácticas de seguridad de las aplicaciones que describe las áreas más probables en las que los errores de codificación dan como resultado una posible vulnerabilidad de la aplicación.

Métodos de prueba de vulnerabilidad para evaluaciones de seguridad de aplicaciones empresariales
Con frecuencia, muchos gerentes de seguridad tienen la tarea de manejar una enorme cartera de aplicaciones potencialmente inseguras. Dado que las aplicaciones son un objetivo favorito para los atacantes malintencionados que buscan infiltrarse en las defensas corporativas y robar datos empresariales, los gerentes de seguridad deben asegurarse de que las aplicaciones se sometan a evaluaciones de seguridad para identificar vulnerabilidades.

Este consejo explica qué hacer cuando una empresa tiene una enorme cartera de aplicaciones potencialmente inseguras y recursos limitados para evaluarlas. También revisa el proceso de evaluación de la seguridad de las aplicaciones empresariales al describir las técnicas utilizadas para revisar las aplicaciones y comparar y contrastar paradigmas estratégicos para las evaluaciones de las aplicaciones.

Las revisiones específicas del código fuente reducen las vulnerabilidades de seguridad del software
Las fallas de software han sido la ruta que han seguido los piratas informáticos para lograr muchos robos costosos en línea, incluidos los ataques de inyección SQL que llevaron a las infracciones de tarjetas de crédito altamente publicitadas en Heartland Payment Systems Inc.

En este consejo, aprenderá cómo las revisiones específicas del código fuente pueden reducir las vulnerabilidades del software y cómo los VAR y los revendedores que actualmente ofrecen productos de software, como herramientas de escaneo de software estáticas y dinámicas, pueden ayudar aún más a sus clientes brindándoles servicios de revisión del código fuente.

Equilibrio entre seguridad y rendimiento: protección de la capa 7 en la red
Según una encuesta reciente de SearchSecurity.com a casi 900 profesionales de TI, el 80% de los profesionales de redes y seguridad están preocupados por las amenazas en la capa de aplicaciones.

En esta lección, el experto en seguridad de aplicaciones Michael Cobb ofrece una descripción general de las opciones para proteger el tráfico de la capa de aplicación utilizando tecnologías, arquitecturas y procesos de seguridad de red, incluidos conmutadores de capa 7, firewalls, IDS / IPS, NBAD y más.

Regrese a la Guía de estudio de CISSP.

Sobre el Autor
Shon Harris, CISSP, MCSE, es el presidente de Logical Security, una empresa de consultoría y capacitación en seguridad de TI. Ella es una ex ingeniera en la unidad de Guerra de Información de la Fuerza Aérea, instructora y la autora más vendida de las tres ediciones anteriores de este libro. Shon ha enseñado seguridad informática y de la información a una amplia gama de clientes, incluidos RSA, el Departamento de Defensa, el Departamento de Energía, la Agencia de Seguridad Nacional y muchos más.

Deja un comentario

También te puede interesar...

Qué sigue para Yellen como Secretaria del Tesoro

Janet Yellen, expresidenta de la Reserva Federal, es la elección del presidente electo Biden para ser secretaria del Tesoro. Yellen tendrá que ser confirmada aún más por el Senado, pero es probable que esto suceda,

Cómo desbloquear Sykov | Krypton Solid

Zona de guerra de Call of Duty es un videojuego gratuito que le permite al usuario obtener muchas armas para derrotar a los oponentes. Por lo tanto, es obvio que muchos buscan constantemente las mejores

Retrospectiva de la serie Fallout: Página 3

‘Lo han hecho’, pensé, en el momento en que salí del Refugio 101 y me enfoqué en el Yermo de la Capital. Tracé el horizonte con creciente entusiasmo. Mira los árboles destrozados; y los pueblitos

Lo que el Y2K nos puede enseñar sobre 2012

21 de diciembre de 2012. Es un gran día en el calendario, especialmente porque algunos creen que marca el último día del mundo tal como lo conocemos. Revelación. Armagedón. La predicción del fin del mundo

La historia de las tabletas: una cronología

Su edad probablemente determina cuándo cree que se inventaron las tabletas: es poco probable que los «Millennials» (también conocidos como Generación Y) busquen más allá del iPad de Apple de primera generación en 2010; Los

El talón de Aquiles de los proyectos de IA

TORONTO – A la gente le encanta hablar sobre el potencial de las herramientas de inteligencia artificial para hacer que la gestión de contenido y CRM … trabajar más fácil, mejor y más eficiente. Lo

Presupuesto para las 4 fases financieras de la jubilación

Si goza de buena salud física y está preparado financieramente, su jubilación podría durar décadas. Durante este tiempo, puede pasar por varias fases distintas, con niveles cambiantes de ingresos y gastos que requieren diferentes enfoques

Planifique una implementación exitosa de ITIL

La Biblioteca de infraestructura de tecnología de la información es un marco ampliamente aceptado para brindar administración de servicios de TI. Proporciona un conjunto completo de mejores prácticas que ofrecen una guía práctica y probada

Definición de beneficio gratuito

¿Qué es un beneficio gratuito? Un beneficio de libertad es un paquete financiero otorgado a los empleados que han completado el período de servicio requerido para recibir un beneficio completo, en lugar de un beneficio

Revisión de la caja de la PC NZXT H1

Actualización 2/2/21: NZXT ha retirado de la venta el chasis H1 debido a preocupaciones sobre la seguridad del cable elevador PCIe y su riesgo potencial de incendio. La solución inicial fue un conjunto de tornillos

Oracle está furioso por el informe de Gartner

Oráculo cuestiona un informe de investigación que dice que el fabricante de software ha perdido terreno IBM en el mercado de bases de datos. El informe, publicado por Gartner Dataquest el martes, dijo que Oracle