Pino bio photo

Pino

I (infrequently) blog about data science, business intelligence, big data, web technologies and free software.

Twitter LinkedIn

Estuve dudando si leer finalmente este libro tras echarle un vistazo a su índice, porque no se ajustaba al perfil técnico de los libros de seguridad que estaba buscando. Security in a Web 2.0+ World es un libro de seguridad desde el punto de vista más empresarial y de gestión de proyectos, considerando la seguridad como una inversión que da valor a los productos y que puede suponer pérdidas en caso de no aplicarla.

Pero poder cuantificar la seguridad es también un problema que interesa a cualquier profesional de la seguridad para poder cuantificar los resultados de su trabajo. El constante entorno cambiante de la informática y de la web convierte en un reto poder aplicar en este contexto las métricas y decisiones de negocio.

Al final el libro me ha gustado en líneas generales, aunque al comienzo me costó hacerme con algunas de las expresiones en inglés utilizadas y en ocasiones es demasiado denso, podría contar lo mismo en mucho menos espacio.

Mejorar la seguridad

El International Crime Complaint Center en su informe de 2007 indicaba que el incremento del gasto en seguridad de la industria tecnológica creció un 26%, sin embargo, las pérdidas por errores de seguridad se incrementaron un 20%. La lógica de cualquier empresario le llevaría a pensar que invertir en seguridad no tiene ningún sentido, sin embargo, las pérdidas se hubiesen disparado si la inversión hubiese sido menor.

Los fallos de seguridad pueden tener consecuencias nefastas como costes legales, pérdida de reputación, falta de disponibilidad en el servicio, pérdida de clientes, filtración de información confidencial, pérdida de datos, etc. La conclusión es que tenemos mucho que perder si no nos tomamos la seguridad muy en serio.

Sin embargo, un buen sistema de seguridad que nos permita responder ante un incidente con velocidad y transparencia puede aumentar la confianza de los clientes y mejorar la imagen de la marca.

La seguridad no debe ser una actividad separada, sino estar integrada en todos los procesos de una empresa, desde el punto de creación de cualquier producto. Buscar las soluciones a los problemas de seguridad cuando un producto ya está desarrollado es más caro y se obtienen peores resultados.

La nueva situación de las tecnologías (lo que el libro llama un mundo 2.0+), supone nuevos retos que el campo de la seguridad debe afrontar. Esta nueva situación la conforman la enorme cantidad de contenidos multimedia transmitidos, la publicación de todo tipo de datos personales, las proliferación de conexiones sin cables, la conectividad en múltiples dispositivos y las aplicaciones web cada vez más complejas; entre otras características.

ITU-T X.805

El autor centra buena parte del libro en el estándar ITU-T x.805, que divide las amenazas en 5 tipos:

  • Destrucción.

  • Corrupción

  • Eliminación.

  • Revelación.

  • Interrupción.

Representación de los 5 tipos de modelos de amenazas distintos del ITU-T X.805

También divide la seguridad en 8 dimensiones, 3 planos y 3 capas:

Esquema ITU-T x.805

En Web Security Testing Cookbook (2009),Paco Hope y Ben Walther tratan los ataques más comunes enseñándonos cómo realizar las pruebas de seguridad en nuestros sitios web.