¿Cuál es el estándar de seguridad mínimo necesario para este tipo de producto de software?

Navega tus respuestas
3

Las acciones descritas en los estándares de seguridad (como ISO 27002, PCI-DSS, HIPAA, Common Criteria) varían enormemente de acuerdo con los datos del dominio que almacenan, procesan, transmiten e informan.

Tenemos un producto que recopila métricas de luminarias (dispositivo de iluminación) habilitadas para redes / wifi y realiza análisis de análisis de tendencias o cálculos de eficiencia energética. ¿Cuál es el estándar de seguridad mínimo que debe cumplir el producto? Cuenta con un módulo de descubrimiento de dispositivos, agregación de datos y una aplicación web de informes alojada en la nube y los datos pasan de la plataforma de la empresa a la nube.

Estoy pensando en al menos OWASP 10, pero luego no son estándares sino directrices de controles de seguridad para aplicaciones web.

    
pregunta user134083 21.12.2016 - 15:14
fuente

1 respuesta

1
  

¿Cuál es el estándar de seguridad mínimo que necesita el producto?   reunirse?

Esto depende en gran medida de los requisitos de adquisición que intenta cumplir. Para el gobierno federal de los EE. UU., El mínimo para obtener la lista es la certificación FIPS 140-2 de su módulo criptográfico. Para el DoD hay certificación JITC. Para NSA y otros, tiene NIAP y Common Criteria. Sin embargo, no creo que estés intentando hacer nada de esto.

En cambio, creo que está intentando establecer un punto de referencia para un esfuerzo mínimo para asegurar su producto. Para hacer esto, le sugiero que aplique regularmente parches a cada biblioteca de terceros que use (por ejemplo, OpenSSL), luego ejecute un escáner de vulnerabilidades, como Nessus, y realice un seguimiento con una herramienta de análisis de código estático, como Coverity, aplicable a su idioma. Este enfoque lo llevará a una "seguridad mínima" si lo integra en su proceso de control de calidad.

    
respondido por el Kirill Sinitski 21.12.2016 - 15:58
fuente

Lea otras preguntas en las etiquetas

¿Cómo se cifran y descifran las claves de correo de protones para los proveedores de servicios de correo que no son de protones? DDoS: ¿Un protocolo en el que la víctima dice "No me envíe tráfico durante N ms"?