DECEMBER 20, 2021

Disposición N°8/2021 de la Dirección Nacional de Ciberseguridad: “Guía introductoria a la Seguridad para el Desarrollo de Aplicaciones Web”.

CIRCULARES

Informe del Departamento de TMT (Telecomunicaciones, Medios, Tecnología) | Disposición N°8/2021 de la Dirección Nacional de Ciberseguridad: “Guía introductoria a la Seguridad para el Desarrollo de Aplicaciones Web”

Estimados:

La Disposición N°8/2021 (la “Disposición”) de la Dirección Nacional de Ciberseguridad (la “Dirección”), publicada en el Boletín Oficial el pasado 11 de noviembre, aprueba la “Guía introductoria a la Seguridad para el Desarrollo de Aplicaciones WEB” (la “Guía”).

La Guía fue redactada con el objetivo principal de contribuir al desarrollo seguro de aplicaciones en organismos pertenecientes al sector público nacional, por lo que está dirigido a quienes llevan adelante funciones de desarrollo de software para este sector, así como a responsables de áreas de Sistemas, Tecnología y Seguridad de la Información.

En ese espíritu, a través de la Guía, se pretende que, en todas las etapas del ciclo de vida del desarrollo del software, incluyendo en las etapas iniciales, se incorporen los principios y buenas prácticas de seguridad con el propósito de garantizar la protección de la propiedad intelectual de los desarrollos de software y el cumplimiento de la Ley 25.326 de Protección de Datos Personales.

Entre algunas de las recomendaciones más destacadas de la Guía, se pueden mencionar las siguientes:

1. Al momento de comenzar con el desarrollo de la aplicación, la Guía prevé los diferentes tipos de modelos de Ciclo de Vida del Desarrollo Seguro (tales como OWASP, (ISC) 2 CSSLP, Microsoft SDL, NIST SP800-64, o incluso un modelo sugerido por la propia Dirección).

2. La incorporación de un enfoque de seguridad desde el inicio del desarrollo del software con el fin de evitar vulnerabilidades antes de la puesta en funcionamiento de la aplicación. Para ello la Guía sugiere que se tengan en cuenta algunas premisas, tales como: “Van a atacar la aplicación”, “Algún ataque va a funcionar”, “Privacidad de los Usuarios”, entre otras.

3. Durante el análisis de requerimientos, la Guía sugiere la puesta de una serie de actividades de seguridad, tales como: la clasificación de activos, los casos de abuso, los requerimientos de seguridad, de privacidad y/o arbitrarios, los análisis de riesgos, entre otros.

4. La adopción de ciertos principios de diseño seguro para evitar vulnerabilidades, tales como: minimizar la superficie de ataque, diseñar para ser mantenido, detectar debilidades (“el eslabón más débil”), seguridad por defecto, mantener la usabilidad, entre otros.

5. La toma de acciones tendientes a incrementar la seguridad en el proceso de implementación del software, tales como: la seguridad de las herramientas, contar con sistemas de control de versiones, tener prudencia al contratar terceros, entre otras.

6. En cuanto al desarrollo del código del software, la Guía también establece recomendaciones para una programación segura que apuntan a su seguridad, tales como la utilización de librerías de código abierto reconocidas como método de implementación de módulo de validación de entradas, entre otras recomendaciones.

7. La Guía incorpora un listado de los ciberataques más frecuentes para que los desarrolladores de software los identifiquen y puedan prevenirlos.

8. Se fijan criterios para realizar pruebas de seguridad con motivo de su detección temprana para evitar mayores fallas y que el impacto sea menor. Las pruebas de seguridad recomendadas también incluyen herramientas de escaneo estático, pruebas de penetración, auditorías manuales de código, entre otros.

9. Una vez realizada la verificación de la etapa de pruebas, la Guía establece guías de buenas prácticas para el despliegue de la aplicación desarrollada, lo que incluye medidas de segregación de ambientes y hardenización (reducción de vulnerabilidades) de equipos. Además, establece recomendaciones para relativas al mantenimiento de las aplicaciones para mantener los niveles de seguridad durante el funcionamiento del software.

Para acceder al texto completo de la Disposición y su Anexo, pueden ingresar al siguiente enlace: Disposición No. 8/2021 Dirección Nacional de Ciberseguridad

Quedamos a su disposición por cualquier información adicional que consideren necesaria.

Atentamente,

Emilio Beccar Varela
Florencia Rosati