redinterna

La Auditoría de Seguridad de una aplicación puede abordarse desde una vertiente de caja negra u otra de caja blanca, en la que se dispone y audita el Código Fuente de la aplicación. La Auditoría de Código Fuente requiere un componente manual capaz de asimilar el contexto de la aplicación para obtener resultados óptimos y esa capacidad es la que ofrece el equipo de Auditoría de Neurosec.

En general, la Auditoría de Código Fuente o Auditoría de Caja Blanca requiere de la colaboración del equipo de desarrollo, nadie mejor que ellos conoce la estructura de la aplicación y puede facilitar el camino en la revisión de código optimizando las zonas de éste que se auditarán. Para desarrollar una auditoría de Código Fuente efectiva es necesario emplear o seguir una metodología reconocida y exhaustiva. Neurosec sigue las pautas marcadas en la OWASP Code Review Guide, aún en producción, pero que pretende ser (al igual que otros documentos publicados por este organismo) una guía o estándar de referencia en este tipo de proyectos.

CARACTERÍSTICAS DEL SERVICIO

El punto clave cuando se audita el código de una aplicación de cierta complejidad o tamaño es conocer el contexto y otras características clave de ésta. El Equipo que realice el proyecto tendrá como meta en esta fase familiarizarse con los siguientes aspectos de la aplicación:

ÁMBITO DE LAS PRUEBAS

La metodología creada por Neurosec permite llevar a cabo una exhaustiva revisión sobre las aplicaciones auditadas cubriendo los siguientes aspectos de seguridad:

Resultados

Informe: Se elabora un informe detallado donde se incluye:

  • Resumen ejecutivo de alto nivel.
  • Detalle de todas las pruebas realizadas especificando su objetivo.
  • Resultados obtenidos en los diferentes test que se han realizado.
  • Recomendaciones que permitan solucionar de la forma más acertada los problemas de seguridad encontrados.
  • Clasificación de los problemas de seguridad según su nivel de peligro. Esto permitirá a la empresa poder elaborar un plan de actuación eficiente para resolver estos problemas de seguridad.
 
Workshop: Reunión orientada a explicar los resultados obtenidos en la auditoría y asesorar sobre las posibles soluciones que existan para los problemas de seguridad encontrados.