Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Requisito AD.1

Incluir requisitos de seguridad de la información durante todo el ciclo de vida de los proyectos de desarrollo o adquisiciones de software.

Requisitos de seguridad de la información en los proyectos

Dentro de la metodología de gestión de proyectos de sistemas de información, debe contemplarse los requisitos de seguridad de la información, formando parte de la especificación de requisitos para un nuevo sistema o bien modificaciones en los sistemas existentes. Es recomendable establecer los requisitos de seguridad en etapas tempranas para lograr sistemas más eficaces y eficientes.

Criterios de aceptación

Dentro de los criterios de aceptación de productos, se deben incluir los criterios de cumplimiento con requisitos de seguridad de la información de la organización.

Desarrollo seguro

Deben establecerse pautas o lineamientos para el desarrollo seguro donde se defina o se requiera el uso de una metodología de desarrollo de software que tenga como objetivo producir código seguro en forma consistente.
La metodología de desarrollo debe abordar entre otros, los siguientes aspectos:

• Criterios de aceptación de diseño, pruebas y documentación.
• Participación del usuario directamente o mediante algún rol que los represente.
• Plan de pruebas con participación usuaria.
• Controles de seguridad que sean necesarios (por ejemplo, análisis de riesgo de amenazas, revisiones de código, etc.). 
• Lineamientos de seguridad de la información en el ciclo de vida del desarrollo de software. 
• Lineamientos de codificación para el lenguaje de desarrollo utilizado. En este punto deberán considerarse aspectos como:
  • Niveles mínimos de documentación requerida.
  • Requerimientos de prueba obligatorios.
  • Cómo realizar comentarios entre código y cuál sería el estilo de comentarios preferidos.
  • Manejo de excepciones.
  • Método para nombramiento de variables, funciones, clases y tablas.
  • El código fuente debería ser fácil de mantener y legible. 

Control de versiones

Se debe contar con mecanismos para el control de versiones y revisión de código (por ejemplo, Subversion, SourceSafe, CVS, ClearCase, etc.)

Desarrollo subcontratado

Si el desarrollo se realiza en forma subcontratada, la organización debe acordar con los proveedores el cumplimiento de las normas de desarrollo seguro que se hayan definido.

Adquisición de productos

En el caso de adquisición de productos, los contratos con los proveedores deben incorporar los requisitos de seguridad que sean necesarios. En caso de que esos requisitos de seguridad no puedan ser satisfechos, debe considerarse el riesgo generado por esta causa y evaluar si realmente se va a adquirir el producto. 

Guía de evidencia para auditoría

• Pautas de desarrollo seguro.
• Metodología de gestión de proyectos.
• Metodología de desarrollo que incluya aspectos de seguridad y evidencia de su revisión periódica.
• Lista de proyectos (desarrollado internamente o adquirido a un tercero) durante el período auditado.
• Listado de aplicaciones.
• Especificación de requerimientos para algunos proyectos seleccionados como muestra, donde se incluyan los requerimientos relativos a seguridad de la información.
• Trazabilidad requerimiento – persona de contacto.
• Documentación generada en relación con los proyectos de desarrollo.
• Muestra de versionado de archivos para el período auditado.
• Política de gestión de cambios.
• Procedimiento de gestión de cambios.
• Detalle de la herramienta (si existiera) que asiste en la gestión de los cambios.
• Listado de solicitudes de cambios en el período auditado.