Cómo OWASP ASVS puede ayudar a alinearse con ISO 27001 (y viceversa)
El Estándar de Verificación de Seguridad de Aplicaciones de OWASP ASVS es una lista de requisitos o pruebas de seguridad de aplicaciones que los arquitectos, desarrolladores, evaluadores, profesionales de la seguridad e incluso los consumidores pueden utilizar para definir qué constituye una aplicación segura.
OWASP ASVS ofrece una lista completa de requisitos, controles y pruebas de seguridad de aplicaciones web que puede utilizar para determinar el alcance, crear y verificar aplicaciones web y móviles seguras. Permite a las organizaciones desarrollar y mantener aplicaciones más seguras; y también brinda a los proveedores de servicios de seguridad y proveedores un conjunto de controles bien documentado con el que pueden alinear sus requisitos y ofertas. La última versión, OWASP ASVS v4.0.2, se lanzó en octubre de 2020.
A continuación explico cómo los requisitos de seguridad y las pruebas de ASVS se corresponden con ISO 27001; o más específicamente cómo se asignan a ISO 27002, la cual proporciona detalles y orientación prescriptiva sobre cómo implementar los controles enumerados en el Anexo A de ISO 27001.
V1: Arquitectura, diseño y modelado de amenazas
La sección de arquitectura, diseño y modelado de amenazas del ASVS cubre cómo verificar la arquitectura de una aplicación y también su modelado de amenazas ante todos los riesgos aplicables.
Esto es paralelo a la sección A.8 de ISO 27001, que cubre la gestión de activos (por ejemplo, inventario de activos, clasificación, etc.). Esto se debe a que, para verificar la arquitectura de la aplicación y el modelo de amenazas, es necesario hacer un inventario de todos los activos de información asociados con la aplicación.
V2: Autenticación
La sección de requisitos de verificación de autenticación de ASVS explica cómo verificar la identidad digital del remitente de una comunicación a la aplicación, cómo garantizar que solo las entidades autorizadas puedan autenticarse y las credenciales se transporten de forma segura.
Esto se corresponde con los controles de la sección A.9 de la norma ISO 27001, que trata de los requisitos de control de acceso. Cualquier aplicación que cumpla con los estrictos y detallados requisitos de ASVS en torno a la autenticación seguramente cumplirá con la norma ISO 27001 a este respecto. Además, la guía de ASVS sobre el registro de decisiones de control de acceso (si las solicitudes de acceso tuvieron éxito o no) cubre la sección A.12.4 de ISO 27001.
V7: Criptografía en reposo
La sección V7 de ASVS cubre el cifrado. Esto coincide con la sección A.10 de ISO 27001, que cubre los controles criptográficos, incluida la gestión de claves.
Si una aplicación pasa todas las pruebas en ASVS V7, esto ayudará significativamente a cumplir con la sección A.18 de ISO 27001. Por ejemplo, ASVS Nivel 2 y 3 exige el cifrado en reposo de todos los datos confidenciales, que aborda directamente el requisito de cumplimiento en el control A.18 de ISO 27001.
V8: Manejo y registro de errores
Los requisitos de verificación de registro y manejo de errores de ASVS son una combinación perfecta para los controles en A.12.4 en ISO 27001, que cubre el registro y monitoreo.
El ASVS especifica que los eventos deben registrarse y estar disponibles para su investigación en el futuro, y también el registro debe protegerse del acceso no autorizado. Los registros también deben almacenarse en una partición diferente a la de la aplicación en ejecución. ASVS establece además que las aplicaciones no deben registrar datos confidenciales según lo definido por las regulaciones de privacidad aplicables (y/o la evaluación de riesgos ISO 27001).
Estos y otros requisitos en el ASVS se corresponden muy de cerca con A.12.4. Por lo tanto, si una aplicación cumple con ASVS en este sentido, también debe cumplir con los requisitos para la certificación ISO 27001.
V9: Protección de datos
El ASVS V9 cubre los requisitos de protección de datos y hace referencia a "tres elementos clave para una protección de datos sólida: confidencialidad, integridad y disponibilidad (CIA)". La coincidencia más cercana a estos requisitos en ISO 27001 es A.18.1.3, que se refiere a la protección de registros confidenciales contra el acceso no autorizado, la modificación, etc.
V10: Seguridad de las comunicaciones
Los requisitos especificados en ASVS V10 para verificar la seguridad de las comunicaciones se relacionan con el cumplimiento de la sección A.14.1 de ISO 27001. Esta sección trata sobre la seguridad de las comunicaciones a través de redes públicas; p. ej., ¿una aplicación cifra las transacciones o garantiza de alguna otra forma que estén seguras y protegidas?
Otros paralelos ASVS e ISO
Además de lo anterior, existen varios paralelismos entre los principios de ingeniería segura en ISO 27001 A.14.2 y A.14.3 y los requisitos de ASVS para la configuración de seguridad HTTP, verificación de controles maliciosos, lógica de negocios, verificación de archivos y recursos, pruebas de aplicaciones móviles, verificación de servicios web, requisitos de configuración y más.
OWASP ASVS es un gran marco para que lo adopte cualquier organización de desarrollo, con el fin de garantizar que las aplicaciones y sus arquitecturas sean seguras. Como ventaja adicional, verificar que una aplicación cumpla con las pautas de ASVS puede ayudar a acercarse al cumplimiento de ISO 27001, siempre que la aplicación esté dentro del alcance de su esfuerzo de cumplimiento de ISO.
De hecho, es sorprendente que haya tantas correspondencias entre los dos marcos, dado que ISO 27001 aborda la seguridad de la información de manera integral, mientras que ASVS se centra estrictamente en la seguridad de las aplicaciones.
Fuente: SeguInfo
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios