Que necesitan saber los Testers sobre seguridad

Las pruebas de seguridad se han convertido en un aspecto crítico del proceso de garantía de calidad. Los encargados de tratarla siempre, ha sido el equipo de operaciones, pero con la entrada de DevOps, el departamento de calidad debería entrar y participar más, definiendo pruebas de seguridad para verificar que los datos están protegidos, brinden información sobre la Confidencialidad, Integridad y Disponibilidad de los datos, buscando identificar amenazas y riesgos de un sistema.

Hay unas pautas estándares, cómo las pruebas de penetración, en la que se simulan ataques para descubrir no sólo los puntos débiles de seguridad, sinó también fingir los posibles daños, a través de vulnerabilidades en puntos como:

  1. Autenticación: El usario puede verificar que dicha persona, es quien dice ser.
  2. Disponibilidad: Asegura que la información está accesible en un momento preciso y para las personas que la necesitan.
  3. Confidencialidad: Permite limitar el acceso a los datos de modo que sólo las personas (o recursos) autorizados puedan acceder a la información.
  4. Integridad:  Garantiza que la información sea correcta, sin errores y que no pueda ser modificada sin permiso.
  5. Non-repudio: Sirve a los emisores o a los receptores para negar un mensaje transmitido. Por lo que cuando un mensaje es enviado, el receptor puede probar que el mensaje fue enviado por el presunto emisor. De manera similar, cuando un mensaje es recibido, el remitente puede probar que el mensaje fue recibido por el presunto receptor.

Independientemente de las pruebas de penetración, otros punto importantes con resultados eficaces son:

  • Formación de seguridad en la organización a los empleados con temas de seguridad y vulnerabilidad en la red.
  • Poner el foco en la seguridad en fases muy tempranas. “Si puedes encontrarlo antes y arreglarlo, te va a ahorrar un montón de problemas”.