Category:Principle/es

Esta categoría es para marcar artículos relacionados a principios de seguridad en aplicaciones.

¿Que es un principio de seguridad en aplicaciones?
Los principios de seguridad en aplicaciones son colecciones de propiedades, comportamientos, diseños y prácticas de programación deseables en las aplicaciones las cuales se enfoquen en reducir la probabilidad y el impacto de realizacion de una amenaza. Los principios de seguridad son independientes de un lenguaje, primitivas arquitecturalmente neutrales que pueden ser impulsadas la mayoría de las metodologías de desarrollo de software para diseñar y contruir aplicaciones.

Los principios son importantes porque nos ayudan a hacer desiciones de seguridad en nuevas situaciones con las mismas ideas básicas. Considerando cada uno de estos principios, podemos generar requerimientos de seguridad, tomar desiciones de arquitectura e implementación e identificar posibles debilidades en los sistemas.

Lo importante es recordar que para que sean útiles, los principios deben ser evaluados, interpretados y aplicados para resolver un problema específico. Aunque los principios pueden servir como lineamientos generales, simplemente decirle a un desarrollador que si software debe "fallar de manera segura" o que debería ser parte de la "defensa a profundidad" no significaría mucho.

Algunas principios de seguridad en aplicaciones provados

 * Aplicar seguridad a profundidad (meditación completa)
 * Use un modelo positivo de seguridad (fallar seguro predeterminadamente, minimizar la superficie de ataque)
 * Fallar seguro
 * Vaya con el mínimo privilegio
 * Evite la seguridad por obscuridad (diseño abierto)
 * Mantenga la seguridad simple (verificable, economía del mecanismo)
 * Detectar intruciones (registro de ataques)
 * No confie en la infraestructura
 * No confie en los servicios
 * Establezca la configuración predeterminada segura (Aceptación psicológica)

Aplicando los principios de seguridad
Considere el ejercicio de diseñar una aplicacion web sencilla que le permita enviar correos a un amigo. Al evaluar e interpretar cada principio, podemos llegar a muchas de las amenazas a esta aplicación y finalmente llevarle a una serie de requerimientos de protección. Queremos terminar con una lista completa de lo que es requerido para ofrecer este servicio de manera segura.

Referencias

 * Saltzer y Schroeder (vea la sección 3)
 * Saltzer y Schroeder aplicado a Star Wars
 * Las 6 ideas mas tontas en la seguridad en aplicaciones
 * Los 10 pasoa de Gary McGraw's para asegurar software
 * Proyecto Guía de OWASP
 * Principios de ingeniería para la seguridad en tecnologías de información (EP-ITS), Por Gary Stoneburner, Clark Hayden, y Alexis, Publicación especial NIST (SP) 800-27 (PDF)
 * Principios de diseño seguro de "Foundations of Security: What Every Programmer Needs To Know" por Neil Daswani, Christoph Kern, y Anita Kesavan (ISBN 1590597842)
 * Diseños de Alto aseguramiento por Cliff Berg, 2005, Addison-Wesley. Prólogo por Peter G. Neumann. Principios de diseño y patrones para un diseño seguro y confiable.