Los principios son columnas o bases fundamentales que nos permiten llevar a cabo todo un sistema. Por eso hablamos de prinicipios de ciberseguridad, ya que son la base para mitigar riesgos. Aquí hablaremos sobre qué son los prinicipios de seguridad OWASP.

¿Qué significa OWASP en ciberseguridad?

OWASP, por sus siglas en inglés, Open Web Application Security Project o Proyecto abierto de seguridad de aplicaciones web, es una organización que lucha e innova para lograr una mayor seguridad de las aplicaciones web.

Esta organización ofrece un esquema de principios de seguridad que sirven como guía para minimizar amenazas y mitigar riesgos.

Prinicipios de seguridad OWASP ennumeradas

• Principio Uno: Minimizar el área de superficie de ataque.

Cuando hablamos de una superficie de ataque, hacemos referencia a la vulnerabilidad en potencia existente que cualquier atacante podría aprovechar.

Un ejemplo de estas vulnerabilidades pueden ser el uso de contraseñas débiles para entrar a los sistemas. Utilizando este principio, se tendrán que establecer políticas sobre contraseñas seguras y complejas.

• Principio del privilegio mínimo: Para tener los activos seguros de una organización, es importante tomar en cuenta que cada uno de los empleados debe tener únicamente el acceso a los recursos mínimos necesarios para lograr hacer su trabajo.

Dicho de otra manera, hay que evitar que los empleados tengan acceso a datos que no necesitan para sus actividades laborales.

En cuestiones de seguridad, este principio reduce los daños que podría causar una violación de seguridad.

• Defensa en profundidad, este principio se refiere a la existencia de varios controles de seguridad en una organización, esto con la finalidad de abordar una misma amenaza o riesgo de seguridad desde varios ángulos distintos.

Ejemplos de controles de seguridad son la autenticación de múltiples factores (MFA), firewalls, configuraciones de permisos, etc. para crear diferentes capas de seguridad.

• Separación de funciones. Este principio marca que ninguna persona debe recibir tantos privilegios o permisos que pueda abusar del sistema.

El objetivo de este principio es el de evitar actividades fraudulentas para la organización. Un ejemplo claro de esto es que quien autoriza la nómina de la organización, debe ser distinto a la persona que prepara la nómina.

• Simplificar la seguridad. Para comprender este principio de seguridad, solo recuerda que cuanto más sencillos sean los controles de seguridad, más fácil es trabajar en colaboración.

Cuando realizas una solución innecesaria pero, sobre todo, compleja, solo hará que sean más difíciles de gestionar.

• Corregir correctamente los problemas de seguridad. ¿Imaginas que haya dos veces el mismo ataque por la misma falla de seguridad?

Es importante que, tras un ataque o detección de vulnerabilidad, se corrija el problema correctamente y se hagan pruebas para verificar que la solución propuesta en verdad funcione.

• Configuraciones seguras por defecto. Que una aplicación en su estado óptimo sea el más seguro posible, debe ser el objetivo de seguridad.

Si se busca que la aplicación sea insegura (esto por parte de un atacante), se deberá buscar un esfuerzo mayor.

• Fallar de forma segura. Cuando un control de seguridad, por cualquier razón llegara a fallar, debería restablecerse automáticamente a la configuración más segura.

Por ejemplo, si un firewall falla, debería de cerrar todas las conexiones y bloquear las nuevas. Una manera insegura de actuar de este firewall, sería el de comenzar a aceptar todas las conexiones, lo cual compromete la seguridad.

• No confiar en los servicios. Este es muy similar al principio de confianza cero, pero en este caso va dirigido a la contratación de nuevos servicios que requieren de datos sensibles por nuestra parte.

Se debe verificar primero que la otra empresa que vamos a contratar, tenga sistemas seguros, ya que tendrá acceso a datos sensibles de nuestra organización.

• Evitar la seguridad por oscuridad. Cuando hablamos de oscuridad, hablamos de algo oculto, es decir, que la seguridad de ninguna organización se debe basar en mantener detalles ocultos.

Dichos elementos ocultos pueden ser, por ejemplo, el código fuente de una aplicación. La seguridad siempre debe estar basada en muchos elementos más de ciberseguridad, como lo hemos visto hasta este momento a través del resto de los principios de seguridad OWASP.

¿Dónde ver más información sobre OWASP?

OWASP al ser una organización muy compleja, también tiene varios artículos, sobre todo el TOP 10 de OWASP.

En este link podrás ver su página oficial y ver este top que te menciono, así como conferencias que se realizan; https://owasp.org/www-project-top-ten/