Políticas de Ciberseguridad en el Desarrollo de

Código Seguro
Caso: “TechSecure”

1
 1. Política de Ciberseguridad en el Desarrollo de código Seguro

1. Introducción: En la empresa “TechSecure”, se comprende que la

ciberseguridad es esencial para la protección de sus activos, así como la
información sensible de sus usuarios. Esta política establece las prácticas
necesarias para asegurar el desarrollo de código seguro, garantizando su
integridad, confidencialidad y disponibilidad de los datos.

2. Objetivo: El objetivo de esta política es promover un entorno de código

seguro, estableciendo normas que protejan el código y los datos sensibles de
amenazas y vulnerabilidades. No solo se busca cumplir con las normativas,
sino que también, generar confianza en sus usuarios.

3. Alcance: Esta política se aplica a todos los empleados, contratistas y socios

de “TechSecure” involucrados en el desarrollo del software. Su alcance es de
todos los proyectos y aplicaciones que maneja la empresa.

4. Elementos de la política
1. Gestión de credenciales: La gestión de credenciales es importante
para prevenir accesos no autorizados a un sistema. Los métodos de
autenticación deben ser tratados con cuidado.

- Contraseñas seguras: Es crucial que las contraseñas sean lo

suficientemente seguras para evitar cualquier tipo de ataque
cibernético.
- Cambios en las contraseñas: Es recomendable realizar
cambios periódicos en las contraseñas para evitar que el uso de
estas se prolongue mucho tiempo.
- Autenticación multifactor (MFA): Cada vez que sea posible,
se recomienda implementar MFA para añadir una capa de
seguridad adicional.

2. Validación de entradas: La validación de entradas es un proceso

esencial para prevenir vulnerabilidades como la inyección de código y
otros ataques. Todos los datos que se ingresan al sistema, se
considerarán amenazas hasta que se demuestre lo contrario.

- Sanitización de datos: Los datos que se ingresan se deberán

analizar, validando que estos no contengan algún elemento
malicioso.

2
 - Tipos de datos: Los campos de entrada deberán especificar
qué tipos de datos se esperan y se deberán rechazar cualquier
entrada que no corresponda al tipo de que se espera.

3. Control de acceso: El control de acceso asegura que solo los

usuarios autorizados tengan acceso a información sensible. Esto con
el fin de minimizar accesos o modificaciones no autorizadas en el
sistema.

- Principio del menor privilegio: El usuario y aplicación sólo

deberá tener el permiso a sus funciones.
- Auditorías de acceso: Son necesarias para verificar que los
usuarios solo tienen los accesos al sistema que necesitan.

4. Manejo de datos sensibles: La información sensible debe ser

protegida en todo momento, incluyendo su transmisión y
almacenamiento.

- Cifrado: Los datos sensibles deben estar cifrados, tanto cuando

se transmiten, como cuando se almacenan.
- Eliminación segura de datos: Una vez que los datos ya no
son necesarios, estos deberán eliminarse definitivamente de
modo que ya no puedan recuperarse.

5. Sensibilización y Capacitación: “TechSecure” se compromete a llevar a

cabo programas de capacitación para todos los empleados y socios sobre la
ciberseguridad y la importancia de esta política, realizando campañas de
sensibilización para asegurar que se adopten las mejores prácticas en el
desarrollo de código seguro.

6. Revisión y evaluación: Esta política se estará revisando anualmente o

siempre que sea necesario para prepararse a posibles amenazas,
tecnologías y mejores prácticas. Los cambios se le comunicarán a todos los
empleados y socios de “TechSecure”.

3
 2. Requerimientos de ciberseguridad

1. Introducción: Para asegurar la implementación efectiva de las políticas de

ciberseguridad en “TechSecure”, es crucial levantar una serie de
requerimientos y definir procesos clave que protejan la información y
aseguren las mejores prácticas en el desarrollo de código seguro.

2. Evaluación de riesgos

1. Descripción: Es el primer paso esencial para la implementación de

políticas de ciberseguridad. Consiste en analizar, identificar y priorizar
las amenazas que podrían afectar al desarrollo del proyecto.

2. Requerimientos
- Identificación de riesgos: Analizar el entorno de desarrollo,
las tecnologías que se usarán y los datos para identificar
posibles amenazas y vulnerabilidades.
- Clasificación de riesgos: Asignar un nivel de criticidad (Bajo,
medio, alto) a cada riesgo en base a su impacto y su
probabilidad de ocurrencia.
- Plan de mitigación: Desarrollar planes de acción para mitigar o
eliminar los riesgos de mayor prioridad.

3. Procesos
- Análisis de impacto: Realizar simulaciones de cómo los
riesgos podrían afectar la operación e integridad del sistema.
- Revisión continua: Evaluar los riesgos a medida que el
proyecto se desarrolla, para detectar posibles amenazas.

3. Auditorías de seguridad

1. Descripción: Son revisiones periódicas que garantizan que las

políticas de ciberseguridad se están aplicando correctamente.

2. Requerimientos
- Revisiones programadas: Establecer un calendario regular de
auditorías de seguridad, tanto internas como externas, para
identificar y corregir fallas en la implementación de la política de
ciberseguridad.
- Monitoreo de cumplimiento: Verificar que las prácticas y
procedimientos implementados tengan los estándares
establecidos, como ISO/IEC 27001 y OWASP.

4
 3. Procesos
- Generación de informes: Crear informes detallados tras cada
auditoría, que incluyan los hallazgos, recomendaciones y plan
de acción correctiva.
- Auditoría post-implementación: Una vez implementado un
nuevo código o funcionalidad, se deberán realizar auditorías
para verificar su seguridad.

4. Control y gestión de versiones

1. Descripción: Son fundamentales para asegurarse que el código en

desarrollo esté controlado y que se apliquen las actualizaciones
necesarias sin comprometer a la seguridad.

2. Requerimientos
- Sistema de gestión de versiones: Implementar un sistema de
control de versiones para gestionar cualquier cambio en el
código, garantizando que los cambios queden registrados y
puedan ser revisados.
- Gestión de parches: Desarrollar un proceso para la aplicación
rápida de parches de seguridad en caso de que se identifiquen
vulnerabilidades en el software o en las bibliotecas utilizadas.

3. Procesos
- Revisión de código: Revisar el código para cada versión,
donde se verifique que las actualizaciones no introduzcan
vulnerabilidades.
- Historial de cambios: Mantener un historial completo de todos
los cambios realizados junto con una evaluación de su impacto
en la seguridad.

5. Control de Acceso Basado en Roles (RBAC)

1. Descripción: Es un mecanismo que limita el acceso a los recursos del

sistema en función de los roles de los usuarios, con el fin de que cada
usuario tenga únicamente el permiso necesario para su trabajo.

2. Requerimientos
- Asignación de roles: Definir los roles dentro del equipo de
desarrollo y asignarles los permisos específicos.
- Segmentación de Funciones: Implementar políticas que
aseguren que no se acumulen funciones críticas a una sola
persona.

5
 3. Procesos
- Auditoría de roles: Revisar periódicamente los roles y
permisos asignados a cada miembro del equipo de trabajo para
asegurar que sigan siendo los adecuados.
- Gestión de acceso dinámico: Ajustar los permisos a medida
que se cambien los roles o responsabilidades de equipo.

6. Capacitación y concientización

1. Descripción: Es esencial realizar capacitaciones periódicas y

mantener un alto nivel de concientización sobre los riesgos y las
políticas.

2. Requerimientos
- Capacitaciones regulares: Establecer un programa de
capacitación continua sobre la ciberseguridad para los
empleados enfocándose en el desarrollo de código seguro.
- Simulacros de seguridad: Realizar simulacros y pruebas de
phishing para sensibilizar al personal sobre las amenazas.

3. Procesos
- Evaluaciones de capacitación: Evaluar el conocimiento del
personal luego de cada sesión de capacitación para asegurar
que se adquieren las habilidades necesarias.
- Actualización de contenidos: Mantener los contenidos de las
capacitaciones actualizados con las últimas tendencias y
amenazas en la ciberseguridad.

6
 3. Estándares y buenas prácticas de ciberseguridad

1. Introducción: El desarrollo de código seguro requiere la adopción de

estándares y buenas prácticas de ciberseguridad que garanticen la
protección de los sistemas y la información sensible.

2. OWASP (Open Web Application Security Project)

1. Descripción: Es una organización internacional sin fines de lucro que

trabaja en la mejora de la seguridad del software. Ofrece directrices,
herramientas y recursos para ayudar a las empresas a identificar y
mitigar vulnerabilidades en el sistema web.

2. Buenas prácticas
- OWASP Top Ten: Se listan las diez vulnerabilidades de
seguridad en aplicaciones web.
- OWASP ASVS: (Application Security Verification Standard) Es
un marco que proporciona un conjunto de controles de
seguridad para la verificación de aplicaciones web.

3. Cómo mejora la seguridad

- Ayuda a “TechSecure” a identificar vulnerabilidades críticas
desde las primeras etapas del desarrollo.
- Fomenta el desarrollo de código robusto, mitigando los riesgos
asociados con las vulnerabilidades.
- Facilita la implementación de controles de seguridad
específicos, garantizando que las aplicaciones web sean
revisadas y validadas bajo un conjunto de reglas estándar.

3. ISO/IEC 27001 (Sistema de Gestión de Seguridad de la Información)

1. Descripción: Establece un marco para gestionar la seguridad de la

información mediante un Sistema de Gestión de Seguridad de la
Información (SGSI), protege la confidencialidad, integridad y
disponibilidad de los datos mediante la gestión de riesgos.

2. Buenas prácticas
- Gestión de Riesgos: Un enfoque estructurado para identificar,
evaluar y mitigar los riesgos de seguridad de la información.
- Auditorías revisión continua: Auditorías internas para evaluar
el cumplimiento y eficacia del sistema de seguridad.

7
 3. Cómo mejora la seguridad:
- Proporciona a “TechSecure” un enfoque estructurado y
estandarizado para gestionar la seguridad de la información y
los riesgos asociados.
- Mejora la protección de los datos sensibles, asegurando que la
empresa cumpla con regulaciones y requisitos de prioridad.
- Fomenta una cultura de mejora continua en la seguridad, lo que
ayuda a mitigar posibles futuras amenazas.

4. NIST Cybersecurity Framework (Marco de Ciberseguridad del NIST)

1. Descripción: Es un conjunto de guías para gestionar y reducir los

riesgos de ciberseguridad. Está dividido en cinco funciones: Identificar,
Proteger, Detectar, Responder y Recuperar.

2. Buenas prácticas
- Identificación de activos críticos: Identificar qué activos y
sistemas son esenciales para el funcionamiento de la
organización.
- Protección de información sensible: Implementar controles
para proteger los activos claves y los datos sensibles a
amenazas.
- Detección y respuesta a incidentes: Establecer capacidades
para detectar, responder y recuperarse ante incidentes de
ciberseguridad.

3. Cómo mejora la seguridad:

- Proporciona a “TechSecure” un marco flexible que pueda
adaptarse a las necesidades de la empresa, identificando,
protegiendo y respondiendo a incidentes de ciberseguridad.
- Facilita una evaluación estructurada de la madurez de
ciberseguridad en la organización.

5. CIS Controls (Center for Internet Security Controls)

1. Descripción: Conjunto de acciones prácticas y priorizadas que

ayudan a las organizaciones a mejorar su ciberseguridad. Diseñados
para organizaciones de cualquier tamaño.

2. Buenas prácticas
- Control de Acceso: Asegurar que el acceso a datos y sistemas
esté restringido solo a usuarios autorizados.

8
 - Gestión de vulnerabilidades: Implementar procesos de
actualización y parcheo continuo para mitigar las
vulnerabilidades.

3. Cómo mejora la seguridad:

- Proporciona un enfoque práctico y efectivo para mitigar las
ciberamenazas que enfrenten las empresas.
- Permite a “TecSecure” centrarse en las medidas más
importantes para proteger sus activos y sistemas.

6. PCI DSS (Payment Card Industry Data Security Standard)

1. Descripción: Está diseñado para proteger la información de las

tarjetas de pago y es requerido para todas las organizaciones que
procesan, almacenan y transmiten datos de tarjeta.

2. Buenas prácticas
- Encriptación de datos sensibles: Asegurar que toda la
información de tarjetas de pago esté encriptada durante su
almacenamiento y transmisión.
- Control de Acceso: Limitar el acceso a datos de tarjetas única y
exclusivamente a los usuarios que lo necesiten.

3. Cómo mejora la seguridad:

- Protege a “TechSecure” frente a riesgos asociados con el
procesamiento de datos de pago, asegurando la
confidencialidad y seguridad de la información sensible.
- Mejora la confianza del cliente, asegurando que la empresa
cumpla con los mejores estándares de seguridad para proteger
la información.

9
4. Autoevaluación del cumplimiento de Normas

1. Introducción: Es clave para asegurar que las políticas de seguridad en el

desarrollo de código cumplan con los estándares y mejores prácticas de
ciberseguridad. Identifica fortalezas y áreas de mejora para actuar ante
amenazas.

2. Gestión de credenciales

1. Descripción: Implica cómo se almacenan, protegen y manejan las

contraseñas y datos de autenticación. Es crucial, ya que una mala
gestión, puede causar graves problemas de seguridad.

2. Evaluación: El manejo de credenciales en “TechSecure” se basa en

sistemas de autenticación, buenas prácticas (usando hashing y salting)
y la autenticación multifactor (MFA).
Sin embargo, se ha destacado la necesidad de mejorar la capacitación
del equipo de desarrollo sobre la rotación regular de contraseñas y la
revisión de accesos a sistemas críticos.

3. Áreas de mejora:
- Rotación de credenciales: Implementar políticas automáticas
de cambio de contraseñas para los empleados y sistemas.
- Educación y concientización: Mejorar la capacitación de los
equipos en torno a las mejores prácticas para la creación y
manejo de credenciales.

4. Recomendación: Aumentar la frecuencia de auditorías sobre la

gestión de credenciales y reforzar el uso de herramientas automáticas
para el manejo de contraseñas seguras.

3. Validación de entradas

1. Descripción: Garantiza que los datos ingresados en un sistema sean

revisados correctamente con el fin de prevenir datos maliciosos o
incorrectos. La falta de esta validación puede permitir ataques como
inyección SQL o inserción de scripts maliciosos (XSS).

2. Evaluación: En “TechSecure”, la validación de entradas se aplica con

mecanismos estándar del lado del servidor y del cliente para prevenir
ataques.

10
 Sin embargo, algunos códigos heredados no cumplen con los
estándares actuales de OWASP.

3. Áreas de mejora:
- Revisión de código legado: Priorizar la refactorización de
código antiguo para asegurar que cumpla con los nuevos
estándares de validación.
- Automatización de pruebas: Implementar herramientas de
automatización de pruebas que verifiquen la validez de las
entradas.

4. Recomendación: Incorporar revisiones periódicas del código antiguo

y actualizaciones para garantizar que todas las validaciones de
entradas estén alineadas con los mejores estándares de seguridad.

4. Control de Acceso

1. Descripción: Es el proceso de asegurar que solo las personas o

sistemas puedan acceder a ciertas funcionalidades. Es crucial para
proteger la información y los sistemas críticos de la empresa.
El modelo de control basado en roles (RBAC) permite una gestión
eficiente de estos recursos.

2. Evaluación: El control de acceso de “TechSecure” se gestiona a

través de un modelo de control basado en roles (RBAC), limitando el
acceso a recursos según las funciones del usuario.
No obstante, se ha determinado la necesidad de una revisión más
robusta de los accesos temporales otorgados a personal externo.

3. Áreas de mejora:
- Accesos temporales: Implementar un sistema automatizado
que elimine los accesos temporales una vez completada la
tarea o el contrato del personal.
- Auditorías de permisos: Aumentar la frecuencia de auditorías
de control de acceso para evitar acumulación de permisos
innecesarios o excesivos.

4. Recomendación: Adoptar herramientas de gestión de acceso que

monitoreen y retiren permisos de manera automática una vez estos ya
expiren, garantizando que solo el personal autorizado tenga acceso.

11
 5. Manejo de Datos Sensibles

1. Descripción: Incluye la protección de información confidencial. La

falta de medidas adecuadas en este aspecto, puede exponer a la
empresa a filtraciones de datos que pueden causar pérdidas
financieras y de reputación.

2. Evaluación: “TechSecure” ha implementado estándares sólidos para

la encriptación de datos en reposo y tránsito, así como políticas para la
gestión de datos sensibles.
Sin embargo, se ha identificado áreas donde los procesos de
eliminación segura de datos aún requiere refuerzos, sobre todo en
sistemas de almacenamiento temporales.

3. Áreas de mejora:
- Eliminación segura: Implementar políticas y herramientas que
garanticen la eliminación definitiva de datos sensibles de todos
los sistemas.
- Revisión de proveedores externos: Asegurarse de que todos
los proveedores de servicios de almacenamiento externo
cumplan con los mismos estándares de seguridad que
“TechSecure”.

4. Recomendación: Reforzar las políticas de eliminación segura de

datos y llevar a cabo auditorías para asegurar que tanto los procesos
internos como externos, cumplan con las normas de seguridad.

12
5. Entregables
La implementación de la política de ciberseguridad para el código seguro en “TechSecure”
generará entregables, los cuales serán necesarios para garantizar el cumplimiento de las
directrices de seguridad y las mejoras continuas en el desarrollo.

1. Política de desarrollo seguro de software

Un documento que establece las directrices para el desarrollo seguro en
“TechSecure”, incluye procedimientos para proteger datos sensibles, revisión
de código y uso de herramientas para analizar vulnerabilidades.
- Responsable: Equipo de seguridad de la información.
- Fecha de entrega: [08/10/2024]

2. Informe de auditorías de seguridad de código

Informes que incluyen los resultados de auditorías internas y externas sobre
la seguridad del código fuente, identificando vulnerabilidades y medidas de
mitigación.
- Responsable: Equipo de auditorías y seguridad
- Fecha de entrega: Trimestralmente.

3. Plan de mitigación de riesgos

Documento que describe los riesgos identificados en el desarrollo de código y
las estrategias de mitigación, usando normativas de seguridad (OWASP, ISO
27001).
- Responsable: Equipo de gestión de riesgos
- Fecha de entrega: Semestralmente.

4. Control de versiones y reporte de seguridad en el desarrollo del

software
Registro de cada versión del código, con informes de seguridad asociados
que muestran las evaluaciones de cada actualización.
- Responsable: Desarrolladores y equipo de seguridad de la
información.
- Fecha de entrega: Mensualmente.

5. Informe de capacitación y simulacros de ciberseguridad

Documento que reporta las capacitaciones impartidas a los desarrolladores
sobre ciberseguridad y desarrollo seguro, así como los resultados de ataque
y defensa realizados.
- Responsable: Recursos humanos y equipo de seguridad.
- Fecha de entrega: Anualmente o cuando sea necesario.

13
 6. Autoevaluaciones de cumplimiento de la política de ciberseguridad
Informes semestrales que evalúan el grado de cumplimiento de la política de
desarrollo seguro en todos los equipos de desarrollo, con métricas y
resultados basados en la implementación de la política.

- Responsable: Equipo de cumplimiento y auditorías.

- Fecha de entrega: Semestralmente.

14