Cumpliendo con la Ley Fintech e ISO 27002
Bienvenido a la tercera entrega de esta serie sobre herramientas para cumplimiento. En este capítulo y el siguiente, nos enfocaremos en herramientas para analizar el código de tus aplicaciones. Aquí específicamente, hablaremos sobre el análisis de código dinámico.
Si estás buscando otro tipo de herramientas, te dejamos aquí otros artículos que son parte de esta misma serie:
- Herramientas de cumplimiento: Centralizadores de LOGS
- Herramientas de cumplimiento: Firewalls y protección de dirección IP
¿Qué es un análisis de código dinámico?
Un análisis de código consiste en asegurarte de que el código de tu aplicación funciona correctamente. Se lo denomina como dinámico cuando la prueba se hace mientras se está ejecutando. Este es un tipo de análisis de software que supone / simula la ejecución del programa para observar su comportamiento.
Imagina que el código son los cimientos y la estructura de una casa, y el programador, el arquitecto. Durante un análisis de código dinámico, te aseguras de que las luces, tuberías, cerraduras y ventanas funcionen a la perfección; así puedes reparar errores antes de que haya algún daño.
Cumpliendo con ISO 27002
ISO 27002 te pide gestionar y eliminar las vulnerabilidades técnicas, mediante el análisis de código dinámico.
El análisis dinámico monitorea el comportamiento de la aplicación en un dispositivo real mientras está corriendo. Durante el proceso se utiliza un software para interactuar con la aplicación y maximizar la cobertura durante la prueba. Así podemos identificar formularios de inicio de sesión, menú de pago o direcciones de envío. Después, el análisis determina las posibles vulnerabilidades. Estas vulnerabilidades van desde la inyección de SQL hasta la corrupción de la memoria.
Los controles de ISO 27002 relacionados con este tema son:
- A.12.6.1 Gestión de vulnerabilidades técnicas
- A.14.2.8 Pruebas de la seguridad de los sistemas.
Como empresa, tendrás que definir las responsabilidades de los miembros de tu equipo encargados de dichas vulnerabilidades. Hay que monitorearlas, valorar sus riesgos asociados y aplicar parches.
Cumpliendo con la Ley Fintech
Cómo ya lo mencionamos en los primeros artículos de esta serie, la Ley Fintech contiene 3 disposiciones. El análisis de código dinámico es un requisito para las disposiciones de carácter general y para las que se enfocan en instituciones de fondos de pago electrónico.
En el capítulo VI de las disposiciones generales, esta ley se enfoca en la seguridad de la información y en su anexo 13 hace énfasis en identificar vulnerabilidades para luego poder arreglarlas. Ya sea con un test de ethical hacking, o través de un análisis de código dinámico. Esto se puede encontrar descrito en los indicadores de riesgo clave: KRI0011, KRI0015 y KRI0023.
Lo mismo sucede con las disposiciones aplicables a las instituciones de fondos de pago electrónico (son los mismos indicadores de riesgo clave). Lo único que cambia es que en esta disposición, es el anexo 1.
Ahora que ya sabes los que te solicitan la ISO 27002 y la Ley Fintech mexicana, probablemente te estés preguntando, ¿qué herramientas pueden facilitarme el cumplimiento de esto? No te preocupes, estamos aquí para darte la respuesta.
Escáner de vulnerabilidad
Tenable.IO
Para que sepas cuáles son los riesgos a los que estás expuesto y cuáles son las vulnerabilidades que debes reparar primero, te recomendamos trabajar con un escáner de vulnerabilidades. Personalmente te sugerimos Tenable.IO.
Este escáner multiplataforma te permite mantener seguros tus activos digitales y aplicaciones web. Además, con Tenable puedes gestionar tus vulnerabilidades en la nube. También, tiene la capacidad de predecir problemas de seguridad y ordenarlos por nivel de gravedad.
O sea que con esta plataforma podrás ver la situación de tu empresa en todo momento. Algo así como el ojo que todo lo ve.
Conclusión
Un análisis de código dinámico sirve para detectar vulnerabilidades y errores mientras la aplicación está corriendo. Para llevar a cabo estos análisis, utilizar un escáner de vulnerabilidades es una buena idea. Además de que estas herramientas son útiles para cumplir con leyes y estándares de seguridad. Sin embargo, una prueba de ethical hacking es siempre más efectiva.