Software Policies, Procedures & Standards

Defina un nivel de seguridad para sus aplicaciones

Próximos pasos:

Descripción general

En la experiencia de Foundstone, la mayoría de los defectos de seguridad se originan porque a los desarrolladores y demás implicados en el ciclo de desarrollo del software no se les ha dicho lo que deben hacer y lo que no. Y la mejor forma de comunicárselo es mediante el uso de directivas y procedimientos. Sin embargo, disponer de directivas, pero no de procesos, o a la inversa, dificulta la consecución del objetivo final de lograr aplicaciones más seguras. Puesto que las organizaciones integran cada vez más la seguridad en el ciclo de vida de desarrollo del software, resulta fundamental que impartan al personal de desarrollo los conocimientos adecuados para realizar su trabajo.

Principales ventajas

Unas directivas, procedimientos y normas apropiados permiten a una organización establecer un nivel de seguridad que todas las aplicaciones deben cumplir. Esto permite a los analistas empresariales definir los requisitos de seguridad, a los diseñadores y desarrolladores adherirse a estas normas, a los técnicos encargados de las pruebas investigar las infracciones, y a los ingenieros de implantación y mantenimiento garantizar un cumplimiento constante de las normas de seguridad.

Metodología

Para la elaboración de estas normas, Foundstone determina en primer lugar cuáles son las relevantes para la organización. A continuación, los asesores de Foundstone colaboran con el equipo del cliente para elaborar un borrador y revisar los contenidos. Una vez hecho esto, Foundstone personaliza los contenidos y el diseño para que satisfagan las normas de la empresa. Por último, Foundstone entrega el resultado de su trabajo en forma de documento o conjunto de documentos.

En función de cada caso, este servicio puede incluir:

  • Directiva de desarrollo de aplicaciones seguras
  • Normas de creación de código seguro
  • Normas de implantación de aplicaciones seguras
  • Metodología de modelado de amenazas para las aplicaciones
  • Metodología de revisión de la seguridad del código de las aplicaciones
  • Metodología de garantía de calidad de la seguridad de aplicaciones
  • Metodología de evaluación de riesgos de la cartera de aplicaciones
  • Metodología de ingeniería de los requisitos de seguridad
  • Desarrollo de procesos de gestión de conocimientos de seguridad
  • Desarrollo de procesos de integración de herramientas