¿Qué es la seguridad de las aplicaciones? | Glosario de VMware | CL

¿Qué es la seguridad de las aplicaciones?

 

La seguridad de las aplicaciones se refiere a las medidas de seguridad, a nivel de aplicación, cuyo propósito es impedir el robo o el secuestro de datos o códigos dentro de la aplicación. Abarca las consideraciones de seguridad que se deben tener en cuenta al desarrollar y diseñar aplicaciones, además de los sistemas y los enfoques para proteger las aplicaciones después de distribuirlas.

 

La seguridad de las aplicaciones puede incluir hardware, software y procedimientos que identifican o minimizan las vulnerabilidades de seguridad. Un enrutador que impide que se vea la dirección IP de un ordenador desde Internet se puede considerar una forma de seguridad de las aplicaciones mediante hardware. Pero las medidas de seguridad que se implementan a nivel de aplicación también se suelen integrar en el software. Es el caso de un cortafuegos de aplicación que defina estrictamente qué actividades están permitidas y cuáles prohibidas. Los procedimientos pueden implicar tareas como una rutina de seguridad de aplicaciones que incluya protocolos como pruebas periódicas.

Seguridad de las aplicaciones de VMware

Obtenga información sobre cómo reducir la superficie de ataque de las aplicaciones en varios entornos para mitigar las amenazas

Descargar gratis 

Definición de seguridad de las aplicaciones

La seguridad de las aplicaciones se refiere al proceso de desarrollar, añadir y probar características de seguridad dentro de las aplicaciones para evitar vulnerabilidades de seguridad contra amenazas, tales como la modificación y el acceso no autorizados.

 

¿Por qué es tan importante la seguridad de las aplicaciones?

La seguridad de las aplicaciones es importante porque las aplicaciones actuales suelen estar disponibles a través de varias redes y conectadas a la cloud, lo que aumenta las vulnerabilidades a los peligros y las amenazas a la seguridad. Cada vez hay más presión y más alicientes para garantizar la seguridad no solo a nivel de la red, sino también dentro de las propias aplicaciones. Uno de los motivos es que los hackers están más interesados que antes en atacar aplicaciones. Al realizar pruebas de la seguridad de las aplicaciones, se pueden desvelar puntos débiles de las aplicaciones y ayudar a evitar este tipo de ataques.

 

Tipos de seguridad de las aplicaciones

Hay diferentes tipos de características de seguridad de las aplicaciones, como la autenticación, la autorización, el cifrado, el registro y las pruebas de seguridad de las aplicaciones. Los desarrolladores también pueden codificar las aplicaciones para reducir las vulnerabilidades de seguridad.

 

Los desarrolladores de software pueden integrar procedimientos de autenticación y autorización en las aplicaciones para asegurarse de que solo accedan los usuarios autorizados. Los procedimientos de autenticación garantizan la identidad de los usuarios. Se consigue obligando a los usuarios a proporcionar un nombre de usuario y una contraseña para iniciar la sesión en una aplicación. La autenticación multifactor requiere más de una forma de autenticación. Por ejemplo, algo que el usuario sabe (una contraseña), algo que tiene (un dispositivo móvil) y algo que le caracteriza (una huella dactilar o el reconocimiento facial).

 

Una vez autenticado, puede autorizarse al usuario para acceder a la aplicación y a utilizarla. El sistema puede validar que el usuario tenga permiso para acceder a la aplicación comparando su identidad con una lista de usuarios autorizados. La autenticación se debe efectuar antes que la autorización para que la aplicación solo contraste las credenciales de usuario validadas con la lista de usuarios autorizados.

 

Cuando el usuario esté autenticado y esté usando la aplicación, se pueden proteger los datos confidenciales con otras medidas de seguridad para que los ciberdelincuentes no los vean ni los usen. En las aplicaciones basadas en la cloud, en las que el tráfico que contiene datos confidenciales circula entre el usuario final y la cloud, ese tráfico se puede cifrar para proteger los datos.

 

Por último, si se vulnera la seguridad de una aplicación, el registro puede ayudar a identificar quién ha accedido a los datos y cómo. Los archivos de registro de la aplicación ofrecen un control con marcas de tiempo de los aspectos de la aplicación a los que se ha accedido y de la persona implicada. Es necesario probar la seguridad de las aplicaciones para asegurarse de que todos estos controles de seguridad funcionen correctamente.

 

Seguridad de las aplicaciones en la cloud

La seguridad de las aplicaciones en la cloud plantea desafíos adicionales. Dado que los entornos de cloud ofrecen recursos compartidos, se debe comprobar con especial atención que los usuarios solo tengan acceso a los datos que están autorizados a consultar en las aplicaciones basadas en la cloud. Los datos confidenciales también son más vulnerables en las aplicaciones basadas en la cloud, puesto que los datos se transmiten por Internet del usuario a la aplicación y viceversa.

 

Seguridad de las aplicaciones móviles

Los dispositivos móviles también transmiten y reciben información por Internet, no por una red privada, de modo que son vulnerables a ataques. Las empresas pueden utilizar redes privadas virtuales (VPN) para añadir una capa de seguridad a las aplicaciones móviles que proteja a los empleados que inicien sesión en las aplicaciones de forma remota. Los departamentos de TI también pueden optar por revisar las aplicaciones móviles y asegurarse de que cumplan las políticas de seguridad de la empresa antes de permitir que los empleados las usen en los dispositivos móviles que se conecten con la red empresarial.

 

Seguridad de las aplicaciones web

La seguridad de las aplicaciones web está relacionada con las aplicaciones web: aplicaciones o servicios a los que los usuarios acceden a través de una interfaz de navegador por Internet. Como las aplicaciones web no se encuentran en las máquinas de los usuarios, sino en servidores remotos, la información de entrada y de salida se tiene que transmitir por Internet. La seguridad de las aplicaciones web preocupa en especial a las empresas que alojan aplicaciones web o proporcionan servicios web. Dichas empresas suelen optar por proteger su red contra intrusiones con un cortafuegos para aplicaciones web. Un cortafuegos para aplicaciones web inspecciona los paquetes de datos que considera perjudiciales y, si es necesario, los bloquea.

 

¿Qué son los controles de seguridad de las aplicaciones?

Los controles de seguridad de las aplicaciones son técnicas que mejoran la seguridad de una aplicación a nivel de codificación para que sea menos vulnerable a las amenazas. Muchos de estos controles afectan a cómo responde la aplicación a entradas inesperadas que un ciberdelincuente podría utilizar para aprovecharse de una debilidad. Un programador puede escribir código para una aplicación que le otorgue más control sobre el resultado de estas entradas inesperadas. El «fuzzing» es un tipo de prueba de seguridad de las aplicaciones en la que los desarrolladores examinan los resultados de valores o entradas inesperados para determinar cuáles hacen que la aplicación funcione de una forma imprevista que podría suponer una deficiencia de seguridad.

 

¿Qué son las pruebas de seguridad de las aplicaciones?

Los desarrolladores de aplicaciones realizan pruebas de seguridad de las aplicaciones dentro del proceso de desarrollo de software para asegurarse de que no haya vulnerabilidades de seguridad en una versión nueva o actualizada de una aplicación de software. Las auditorías de seguridad pueden garantizar que la aplicación cumpla una serie específica de criterios de seguridad. Una vez que una aplicación supera la auditoría, los desarrolladores deben asegurarse de que solo puedan acceder a ellas los usuarios autorizados. En las pruebas de intrusión, los desarrolladores piensan como un ciberdelincuente y buscan formas de irrumpir en la aplicación. Las pruebas de intrusión pueden incluir ingeniería social o intentos de engañar a los usuarios para que permitan el acceso no autorizado. Por lo general, los verificadores llevan a cabo análisis de seguridad tanto sin autenticar como autenticados (como usuarios con la sesión iniciada) para detectar vulnerabilidades de seguridad que quizás no se den en ambos estados.

Soluciones y recursos relacionados con la seguridad de las aplicaciones de VMware

Tres pasos para garantizar la seguridad de los datos mediante virtualización de escritorios y aplicaciones

Gracias a las soluciones de virtualización de escritorios y aplicaciones de VMware, las organizaciones protegen los datos corporativos al tiempo que permiten la productividad de los usuarios. Pero quizá se pregunte cómo se logra. La virtualización de escritorios y aplicaciones protege los datos corporativos de tres sencillas formas.

El desafío de proteger las aplicaciones modernas

Suelen incluir redes de servidores, máquinas virtuales, servicios y bases de datos, todos funcionando en coordinación. Por ello, la seguridad de las aplicaciones debe ser tan ágil como las propias aplicaciones.

Software para la seguridad de las aplicaciones: AppDefense

En lugar de perseguir amenazas, AppDefense reconoce el estado y el comportamiento esperados de una aplicación, y comprueba si se producen cambios que puedan apuntar a una amenaza. Cuando se detecta una amenaza, AppDefense responde automáticamente.

Aplicaciones e infraestructura seguras

vSphere ofrece seguridad integrada completa y constituye la base de un centro de datos definido por software (SDDC) protegido, que distribuye aplicaciones, datos, infraestructura y acceso seguros.

Cinco formas de proteger las aplicaciones estén donde estén

Las aplicaciones modernas son vulnerables a los hackers y programas maliciosos. Los ciberataques son más fáciles que nunca y las pérdidas por problemas de seguridad están aumentando.

Software de virtualización de red y seguridad

VMware NSX® Data Center proporciona virtualización de red y seguridad íntegramente mediante software, con lo que completa un pilar básico del centro de datos definido por software (SDDC) y permite que la red de cloud virtual se conecte a los centros de datos, las clouds y las aplicaciones, y los proteja.