¿Cómo manejan las pequeñas empresas la seguridad de las aplicaciones web?

9

Todo en la lista de los 10 principales de Owasp, ¿cómo manejan la seguridad de las aplicaciones web las pequeñas empresas actuales (< 1000 empleados), junto con la seguridad móvil de sus aplicaciones?

¿Les importa la información / seguridad de la aplicación? ¿Las empresas de este tamaño pagan por el análisis de código estático o las pruebas de penetración? ¿O utilizan algún marco / software de código abierto para probar?

    
pregunta CodeTalk 03.10.2012 - 01:39
fuente

5 respuestas

8

Respuesta corta: NO.

De hecho, es sorprendente saber que la mayoría de las empresas no se preocupan por la seguridad de su producto o lo ignoran. Por lo general, los equipos de control de calidad en estas compañías realizan las pruebas, y quizás los casos de prueba incluirían algunos vectores de ataque para XSS, SQLi, etc. pruebas de seguridad, ya sea modelado de amenazas / análisis de código / prueba de la pluma. ¿Cómo puedo saber esto? Al hablar con personas (tanto técnicas como no técnicas) durante los eventos masivos de carrera, me imagino que podría tomar esta respuesta con aproximadamente un 70% de confianza.

    
respondido por el sudhacker 03.10.2012 - 01:46
fuente
11

Mi experiencia es que depende de la industria, las regulaciones y las relaciones comerciales (no necesariamente del tamaño de la empresa).

Ejemplos:

  • < compañía de 10 personas, creando una aplicación web que recupera el crédito En la historia, los socios comerciales requerían que tuvieran un webapp pentest

  • < compañía de 50 personas, creando un portal web que permita clientes para ver la información del punto de venta, cayeron bajo requisitos regulatorios (PCI) y solicitudes de socios para tener sus portal pentested

  • < 5 personas inician el intento de vender su aplicación web a un negocio más grande, se les exigía que evaluaran su aplicación para la seguridad durante la diligencia debida (código auditoría + pentest)
  • en mi experiencia, casi todas las empresas que crean aplicaciones web bancarias / financieras, Hay que hacer algo para demostrar que la seguridad es evaluada y generalmente para razones regulatorias (auditoria de código + pentest)

Muchas empresas más pequeñas optan por la prueba pentesting sobre la auditoría de código porque generalmente es más barata (y es posible que no tengan acceso a todo el código fuente si utilizan otros componentes comerciales).     

respondido por el Tate Hansen 03.10.2012 - 06:30
fuente
7

Trabajo con todo, desde pequeñas empresas locales hasta compañías Fortune 100 y FTSE 100, y una de las cosas que sí encuentro es que todas las empresas están tratando de hacer algo con respecto a la seguridad. Claro, la medida en que una pequeña empresa puede implementar algunos controles de seguridad está limitada por el presupuesto, pero ciertamente no existe una correlación del 100% con las grandes empresas que lo hacen mejor que las pequeñas.

A menudo, las pequeñas empresas financieras (según 150 empleados) son las mejores en esto: implementan la funcionalidad completa de administración del ciclo de vida de la información, incluido el desarrollo de código seguro hasta la destrucción segura al final de la vida. Para el top ten de OWASP, no hay nada que esté fuera del alcance de una empresa de este tamaño. A lo que se reducirá es a lo que hay motivación:

  • Si están regulados, harán lo que sea necesario para pasar la auditoría
  • Si almacenan información personal, intentarán asegurarse de que cumplan con los requisitos de protección de datos dondequiera que estén
  • Si poseen una propiedad intelectual valiosa, colocarán controles para protegerla
respondido por el Rory Alsop 03.10.2012 - 19:37
fuente
2

Creo que para muchas pequeñas empresas, es más fácil esperar que no le suceda a usted que gastar más en seguridad que en la creación del sitio web.

Dado 1) la facilidad para piratear a las PYMES y 2) el riesgo relativamente bajo, uno podría pensar que, en términos de retorno de riesgo, estos serían los principales objetivos para los piratas informáticos.

    
respondido por el Matthew Cohen 10.10.2012 - 01:08
fuente
2

Estoy viendo y escuchando sobre pequeñas empresas que intentan adoptar medidas de seguridad más integradas en lugar de reactivas .

Ejemplos:

  • Incorporando pruebas de seguridad a sus requisitos y suites de pruebas automatizadas
  • Desarrolladores que incluyen herramientas de análisis estático (ya sea con calidad de código o seguridad) en sus entornos de desarrollo o incluso en procesos de construcción
  • Incluyendo configuraciones de refuerzo de seguridad en su aprovisionamiento de sistemas IaaS / PaaS
  • Uso de escáneres web (generalmente de código abierto o de bajo costo, como W3AF) como parte de los procesos previos a la implementación

Este parece ser el caso más frecuente de los equipos con equipos de desarrollo y desarrollo con talento que no pueden permitirse las pruebas de seguridad externas manuales, puntuales (y continuas).

    
respondido por el Todd Grotenhuis 20.02.2013 - 16:41
fuente

Lea otras preguntas en las etiquetas