Resultado de Aprendizaje 2: Determinación del nivel de seguridad requerido por aplicaciones
Criterio 2.a: Caracterizar los niveles de verificación de seguridad en aplicaciones (ASVS)
- Conceptos: Niveles de verificación de ASVS (Nivel 1, 2, 3) y sus requisitos.
- Prácticas: Revisar documentación de ASVS; evaluar aplicaciones de muestra para determinar el nivel adecuado.
- Herramientas: Listas de verificación de ASVS, herramientas de evaluación de seguridad.
- Adicional: Comparar ASVS con otros estándares (e.g., ISO 27001); analizar estudios de casos.
Criterio 2.b: Identificar el nivel de verificación de seguridad requerido según riesgos
- Conceptos: Metodologías de evaluación de riesgos; mapeo de riesgos a niveles de ASVS.
- Prácticas: Realizar evaluación de riesgos en una aplicación hipotética; usar matrices de riesgo.
- Herramientas: OWASP Risk Rating Methodology, plantillas de evaluación de riesgos.
- Adicional: Ejemplos de fallos en la evaluación de riesgos que llevaron a brechas de seguridad.
Criterio 2.c: Enumerar los requisitos de verificación necesarios
- Conceptos: Controles específicos para cada nivel de ASVS; cómo aplicarlos a una aplicación.
- Prácticas: Crear planes de verificación; priorizar requisitos según las características de la aplicación.
- Herramientas: Listas de verificación de ASVS, herramientas de gestión de proyectos (Jira).
- Adicional: Explorar cómo integrar ASVS en el proceso de desarrollo; posibilidades de automatización.
Criterio 2.d: Reconocer los principales riesgos de las aplicaciones
- Conceptos: Riesgos comunes (OWASP Top Ten); identificación según tipo de aplicación.
- Prácticas: Realizar modelado de amenazas; priorizar riesgos según probabilidad e impacto.
- Herramientas: Microsoft Threat Modeling Tool, recursos de OWASP.
- Adicional: Discutir riesgos emergentes en tecnologías como IoT; mantenerse actualizado con CVE.