La seguridad basada en el riesgo facilitará las pruebas de software
Adoptar un enfoque basado en el riesgo, centrado en la información, puede ayudarle a determinar las pruebas de seguridad para el software corporativo.
Es bastante obvio que la mayoría de las organizaciones no tendrán la posibilidad de probar todo el software que compran. En muchos casos, tendrán que confiar en las garantías del proveedor de que el software ha sido probado y cumplió con esas pruebas.
El Foro de Seguridad de la Información (ISF, por sus siglas en inglés) reconoce que puede ser imposible de probar todo el software, sea de negocios o de otro tipo.
En lugar de eso, se recomienda un enfoque basado en el riesgo. Esto permitirá a las organizaciones centrar sus esfuerzos en el software –y en las funciones de negocios que soporta– tanto para hacer el mejor uso de los limitados recursos que puedan tener, y para garantizar que las pruebas elegidas resaltan las deficiencias cuando el software está en uso.
Esto se logra mejor si se comprende la información que se va a crear, procesar y almacenar en el software, y también realizando una evaluación de riesgos para examinar el impacto en el negocio, las amenazas y las vulnerabilidades del software y los entornos en los que será utilizado.
Conociendo la información utilizada en el software y los resultados de la evaluación del riesgo, se puede tomar la decisión de realizar las pruebas, y seleccionar las que sean más adecuadas.
Para preparar las pruebas de seguridad en el proceso de adquisición, el ISF aconseja que cualquier organización debería adoptar un enfoque basado en el riesgo que esté centrado en la información, tal como el descrito en el “Proceso para asegurar la información de riesgo en la Cadena de Suministro” del ISF.
El requisito de las pruebas de seguridad puede ser integrado en el proceso RFI/RFP/RFT, de modo que un comprador puede comunicar sus requisitos para las pruebas del proveedor –y los resultados para que sean compartidos– a lo largo de todo el proceso de adquisición.
Adicionalmente, el comprador puede establecer las pruebas que se ejecutarán en todo el proceso RFI/RFP/RFT y cómo serán utilizados esos resultados en la decisión de compra. Si es necesario, y guiado por la evaluación de riesgos, el comprador puede llevar a cabo un programa de pruebas en la etapa de diligencia debida del ciclo de adquisiciones, antes de comprometerse a comprar.
Sobre el autor: Adrian Davis es analista principal de investigación en el Foro de Seguridad de la Información (ISF).