Si operas un servicio web, aquí se listan por categorías los puntos de seguridad básicos que deberías revisar, junto con documentos de referencia y enlaces a ejemplos
- Toda la empresa
-
Seguridad de dominios
-
Recolección de datos y GDPR
-
Seguridad de los servicios de terceros usados internamente (Google Apps, Slack, WordPress, etc.)
-
Definición de políticas de seguridad internas y externas
-
Operación de un programa de bug bounty
-
Elaboración de un plan de respuesta a incidentes de seguridad
-
Cumplimiento normativo
-
2FA en todos los lugares posibles
-
Checklist de onboarding/offboarding
- Infraestructura
-
HTTPS
-
Verificaciones básicas de seguridad (HSTS, X-Frame-Options, CSP, etc.)
-
Automatización de actualizaciones de imágenes de OS/Docker
-
Restricción de acceso por IP a servicios internos
-
Centralización de logs
-
Monitoreo del servicio
-
Monitoreo de anomalías basado en métricas
-
Documentación de cómo reinstalar la infraestructura en caso de desastre
- Código
-
Crear y hacer obligatorio un checklist de revisión de código de seguridad
-
Implementación de SAST
-
Gestión de secrets (contraseñas, llaves, etc.)
-
Realización de sesiones de pruebas enfocadas en seguridad
-
Capacitación en seguridad durante el onboarding
- Aplicación
-
Ejecutar con cuentas que no sean de administrador/root
-
Seguimiento continuo de bibliotecas de terceros
-
Implementación de RASP (Realtime Application Self Production)
-
Contratación de un equipo externo de pruebas de penetración
-
Automatización de seguridad
2 comentarios
Enlace al archivo: https://assets.sqreen.com/whitepapers/…
Aunque es una checklist hecha por una empresa que crea una herramienta de seguridad llamada Sqreen, así que incluye contenido promocional,
parece que bastará con revisar la lista completa y aplicarla según las necesidades de cada empresa.