Spain/Witnesses

Local Witnesses
OWASP en la Universidad de Castilla-La Mancha

Los entornos Web se han convertido en el principal foco de ataque a los sistemas informáticos de las organizaciones. Consciente de este hecho, el Área de Tecnología y Comunicaciones de la UCLM arrancó en enero de 2008 un plan de mejora de la seguridad, centrado específicamente en las aplicaciones Web. Durante el diseño de este plan, los proyectos de la OWASP han aportado respuestas a cada una de nuestras preguntas, hasta el punto de convertirse en nuestra principal fuente de documentación.

La UCLM cuenta con más de 30.000 estudiantes, de los cuales un porcentaje cada vez más significativo cursan enseñanzas de forma telemática. Este enorme número de usuarios, unido a su creciente globalización, hace que Internet, y concretamente la Web, se hayan convertido en la vía principal de canalización de sus servicios.

El perfil de las aplicaciones Web explotadas por la Universidad es muy diverso: desarrollos internos conviven con aplicaciones a medida, software empaquetado, e incluso SaaS. En lugar de centrar el foco exclusivamente en los desarrollos internos, nuestra estrategia consistirá en actuar sobre cualquier actividad del ciclo de vida de las aplicaciones que puedan tener repercusión en su seguridad. Así, existirán directrices de seguridad para la selección, la adquisición, la contratación, el desarrollo interno, la explotación o la evaluación.

Para materializar este enfoque, el Área de Tecnología y Comunicaciones puso en marcha en enero de 2008 un Plan de Mejora de la Seguridad de las Aplicaciones Web. Varios proyectos de la OWASP cuentan con un papel fundamental en el mismo:  TOP 10. Constituirá un requisito de las aplicaciones Web desarrolladas o contratadas por la UCLM que estás sean diseñadas para evitar las vulnerabilidades específicas que aparecen en esta relación. Legal Project. El Secure Software Contract Annex ha servido de base para determinar qué cláusulas de desarrollo seguro se incluirán en la contratación de aplicaciones a medida. Testing Guide. Esta guía conformará el estándar metodológico y de medida del riesgo para las evaluaciones de seguridad, tanto internas como externas. Building Guide y Code Review Guide. Servirán como referencia esencial para el personal de desarrollo.  Sin duda otras iniciativas como ESAPI, WebScarab o WebGoat encontrarán su sitio en nuestro plan a medida que avancemos en su implementación.

En definitiva, la información que la OWASP ofrece, de forma pública y gratuita, ha sido imprescindible para la concepción y desarrollo de nuestra estrategia de seguridad en entornos Web.