¿Cómo y por dónde comenzar con el retorno de la inversión en seguridad de la aplicación web?

3

Si bien existe una gran cantidad de vulnerabilidades, amenazas y sus correspondientes contramedidas, la cantidad de información sobre Infosec Economics (específicamente para aplicaciones web) parece escasa.

¿Cuáles son los recursos y las herramientas que debo considerar para hacer que la implementación de un proceso de desarrollo seguro de software o incluso el modelado de amenazas funcione, sea medible? Los recursos existentes se centran principalmente en la seguridad de la red, por lo que estoy buscando algo específico para las prácticas de seguridad de las aplicaciones, como la lista a continuación:

  1. Modelado de amenazas
  2. Revisión de código
  3. Pruebas de penetración
  4. Desarrollo seguro
  5. Implementando Contramedidas
  6. Costos de las contramedidas vs Costos de incumplimiento
pregunta Epoch Win 19.02.2012 - 22:56
fuente

1 respuesta

3

Consulte el Ciclo de vida del desarrollo de la seguridad de Microsoft . Este es uno de los enfoques seminales y mejores en su clase para asegurar el desarrollo de software, y Microsoft ha proporcionado generosamente una gran cantidad de material, recursos y herramientas para respaldar el ciclo de vida.

También, eche un vistazo al Modelo de seguridad en la construcción (BSIMM). BSIMM no le dice cómo debe hacer un desarrollo de software seguro. En su lugar, proporciona una manera de medir la madurez de sus procesos de desarrollo de software en una docena de dimensiones diferentes. Lo mejor de BSIMM es que se ha aplicado a docenas de otras compañías, y hay datos disponibles sobre la calificación de otras compañías, por lo que puede compararse con otras compañías de su sector industrial para ver cómo se encuentra.

Si desea material específico para la seguridad web, puede comenzar con OWASP . Tienen muchos recursos, herramientas y documentos sobre seguridad web.

Hay muchos otros recursos disponibles, pero creo que encontrarás un gran comienzo.

    
respondido por el D.W. 20.02.2012 - 02:16
fuente