Quería aprovechar la ocasión para comentarles sobre quienes deberían ser los responsables de realizar auditorías de seguridad a las aplicaciones que se desarrollar en alguna organización, un fallo que generalmente ocurre es que muchas de los desarrolladores de su misma aplicación toman ese rol y concluyen en no detectar vulnerabilidades o fallo alguno.
Este sin duda es el primer error a la hora de asignar roles, un desarrollador no debería bajo ningún aspecto auditar su propia seguridad e incluso más, la de ninguna de las aplicaciones creadas en la misma organización, empresa, etc.
Ya que los mismo, generalmente, respetan un marco de trabajo, librerías en comunes y una dinámica de desarrollo probablemente muy similar con pocas variantes entre ellos.
Lo ideal sería que el rol de un auditor de seguridad sea una persona externa a la de cualquier organización, que sin la necesidad de conocer absolutamente nada, ni los desarrolladores, ni la infraestructura IT tenga la capacidad de rastrear y conseguir vulnerabilidades o posibles vectores de ataques por medio de esa aplicación.
En definitiva lo que siempre se va a buscar es mejorar el servicio de la aplicación, asignarles altos niveles de calidad y evitar posibles errores que puedan llegar a comprometer toda la infraestructura.
Recuerde, si está por realizar una Auditoría de Seguridad a sus aplicaciones piense en buscar profesionales ajenos a la organización y el reporte final va a ser diferente.
Saludos!
No hay comentarios.:
Publicar un comentario