Guía de implementación | Requisitos de seguridad de la información en los proyectos Dentro de la metodología de gestión de proyectos de sistemas de información, debe contemplarse los requisitos de seguridad de la información, formando parte de la especificación de requisitos para un nuevo sistema o bien modificaciones en los sistemas existentes. Es recomendable establecer los requisitos de seguridad en etapas tempranas para lograr sistemas más eficaces y eficientes. Criterios de aceptación Dentro de los criterios de aceptación de productos, se deben incluir los criterios de cumplimiento con requisitos de seguridad de la información de la organización. Desarrollo seguro Deben establecerse pautas o lineamientos para el desarrollo seguro donde se defina o se requiera el uso de una metodología de desarrollo de software que tenga como objetivo producir código seguro en forma consistente. La metodología de desarrollo debe abordar entre otros, los siguientes aspectos: - Criterios de aceptación de diseño, pruebas y documentación.
- Participación del usuario directamente o mediante algún rol que los represente.
- Plan de pruebas con participación usuaria.
- Controles de seguridad que sean necesarios (por ejemplo, análisis de riesgo de amenazas, revisiones de código, etc.).
- Lineamientos de seguridad de la información en el ciclo de vida del desarrollo de software.
- Lineamientos de codificación para el lenguaje de desarrollo utilizado. En este punto deberán considerarse aspectos como:
- Niveles mínimos de documentación requerida. - Requerimientos de prueba obligatorios. - Cómo realizar comentarios entre código y cuál sería el estilo de comentarios preferidos. - Manejo de excepciones. - Método para nombramiento de variables, funciones, clases y tablas. - El código fuente debe ser fácil de mantener y legible.
Control de versiones Se debe contar con mecanismos para el control de versiones y revisión de código, como Git, Subversion, SourceSafe, CVS, ClearCase, entre otros, con el objetivo de restringir el acceso al código fuente y a las bibliotecas relacionadas. Esto previene añadir o modificar contenido sin autorización. El acceso queda limitado exclusivamente a individuos autorizados, asegurando que solo aquellos con necesidades laborales legítimas puedan realizar cambios o consultas. Se establecen reglas específicas para el acceso, con una supervisión detallada de las actualizaciones y accesos al código por parte de los usuarios. Desarrollo subcontratado Si el desarrollo se realiza en forma subcontratada, la organización debe acordar con los proveedores el cumplimiento de las normas de desarrollo seguro que se hayan definido. |
Instituciones Emisoras de Dinero Electrónico (IEDE) | Los sistemas informáticos de la institución deben contar con soporte por parte del fabricante o proveedor autorizado por este. En caso contrario deberá justificarse y establecerse controles paliativos. Las interfases de los sistemas de cara al público (clientes) establecen y cumplen con criterios de seguridad y calidad (por ejemplo, OWASP ASVS, usabilidad, etc.) |