d) Scripting de páginas web seguras para prevenir ataques comunes tales como el
Cross-site Scripting.
e) Revisión de seguridad de código y pruebas por entidades debidamente calificadas.
f) El servicio de la organización, ya sea proporcionado por la organización o por un
parte que representa a la organización, debe proporcionarse de manera que el
consumidor pueda autenticar el servicio. Esto puede incluir al proveedor tener el uso
de un sub dominio del nombre de dominio de la marca de la organización y,
posiblemente, el uso de credenciales HTTPS registradas a nombre de la
organización. El servicio debe evitar el uso de métodos engañosos en los cuales el
consumidor pueda tener dificultades para determinar con quién están tratando.
g)
CONTROLES
Los interesados requieren de un profundo conocimiento y entendimiento del activo o control en cuestión,
así como, de las amenazas, agentes amenaza o riesgos involucrados, con el fin de realizar una evaluación
exhaustiva.
El nivel de seguridad integrado a los sistemas necesita ser determinado en base a la criticidad de los datos
de la organización.
Comprender el tráfico en la red - qué es normal, qué no lo es normal.
Utilizar una herramienta de gestión de red para identificar los picos en el tráfico,
tráfico/puertos "inusuales" y asegurarse de que hay herramientas disponibles para
identificar y responder a la causa.
Poner a prueba la capacidad de respuesta antes de que sea necesario para un evento
real. Reafirmar las técnicas de respuesta, procesos y herramientas basadas en el
resultado de los ejercicios regulares.
al volumen de información en la red, herramientas tales como IDS e IPS pueden ser usados para monitorear excepciones que puedan ser
reportadas.
Ingreso
Validación
Contraseñas
Encripción
- roles;
- políticas;
- métodos;
- procesos; y
Activo
a) información;
d) servicios;
La identidad en línea es considerada como un activo ya que es el identificador clave para cualquier consumidor
personal en el Ciberespacio
La dirección URL y la página web de la organización son activos de información.
Las amenazas a los activos personales, giran en torno principalmente a los problemas de identidad,
derivados de la fuga o robo de información personal.
EJEMPLO La información crediticia puede ser vendida en el mercado negro, lo cual facilitaría el robo de identidad en línea.
Provee controles para hacer frente a estos riesgos, incluyendo controles para:
El atacante puede usar mecanismos tales como un software analizador de paquetes para
obtener contraseñas u otro tipo de información de identidad. Alternativamente, el atacante
puede hacerse pasar como entidad autorizada y actuar como un hombre en el medio para
robar información de identidad.
El escaneo de puertos
aplicaciones peer-to-peer
desbordamientos de búfer
suplantación de IP
Donde exista un alto grado de confianza en la seguridad de los productos de software, esto
puede ser validado independiente bajo el esquema de CRITERIO COMÚN como se
describe en la ISO/IEC 15408.
Se deben buscar y aplicar soluciones a las vulnerabilidades, y cuando una solución no sea posible o factible,
los controles deben ser puestos en su lugar.
Como un IAP, practique el desarrollo de software seguro y provea el valor del hash
para el código en línea
Algunas organizaciones desarrollan1 y liberan sus propias barras de herramientas del navegador, marcadores,
o código para proporcionar servicios de valor agregado a los usuarios finales, o facilita el acceso a los servicios
o aplicaciones de la organización.
En tales casos, debe existir un CORRECTO ACUERDO DE USUARIO FINAL, en un idioma adecuado, la
incorporación de declaraciones sobre la política de la organización de codificación, política de privacidad, y
medios por los cuales los usuarios pueden cambiar su aceptación posteriormente o escalar cualquier
problema que puedan tener con respecto a la política y las prácticas. Cuando se utiliza un acuerdo de este
tipo, este debe ser puesto bajo control de versiones y la organización debe asegurarse de que los usuarios
finales lo firman consistentemente.
Evaluar si el código cae dentro de los criterios de los objetivos anti-spyware del proveedor y que se adhiere a
las mejores prácticas de tal forma que las herramientas de software proporcionadas por la organización para
los usuarios finales, no sean etiquetadas como spyware o adware por los vendedores de anti-spyware.
Muchos vendedores de anti-spyware publican los criterios por los cuales ellos califican un software.
Implementar el firmado digital de código para sus binarios de forma tal que los vendedores de anti-malware
y anti-spyware puede determinar fácilmente el propietario de un archivo, y los ISVs, que producen
consistentemente software que siguen las mejores prácticas, sean clasificados como probablemente seguros,
incluso antes del análisis.