Checklist de seguridad para CTO de SaaS Ver.3

• Explica, por categorías, los elementos esenciales de seguridad que un CTO debe atender

→ Incluye enlaces relacionados para leer, herramientas recomendadas, tips, etc.

• Empleados

→ Dar capacitación en seguridad

→ Aplicar 2FA

→ Bloqueo automático de computadoras

→ Evitar compartir cuentas

→ Cifrado de computadoras/teléfonos personales - Jamf, Canonical Landscape

→ Checklist de onboarding / offboarding

→ Usar un administrador de contraseñas - dashlane, lastpass, onelogin

→ Crear y operar un checklist de revisión de código de seguridad -

→ Administración centralizada de cuentas

→ Herramientas de prevención de malware y virus - stormshield

→ Contratar a un ingeniero de seguridad

• Código

→ Gestionar los bugs de seguridad como bugs normales

→ Separar los secrets del código - envkey, vault, secret-manager

→ No implementar cryptography por cuenta propia; usar librerías

→ Aplicar herramientas de análisis estático de código

→ Realizar sesiones de pruebas enfocadas en seguridad

→ Automatizar la seguridad en todo el ciclo de vida de desarrollo de software (SDLC)

→ Hacer onboarding de capacitación en seguridad para ingenieros de software - safecode, pagerdugy sudo

• Aplicación

→ Automatización de seguridad para productos en producción - snyk, checkov

→ Seguridad en FaaS

→ Seguimiento de dependencias - snyk, dependabot

→ Ejecutar con una cuenta distinta de root (unprivileged)

→ Servicio de protección en tiempo real (Runtime Application Self Protection, RASP)

→ Contratar un equipo externo de pruebas de penetración

• Infraestructura

→ Hacer respaldos, probar la restauración y volver a respaldar - tarsnap, quay

→ Pruebas básicas de seguridad para el sitio web - securityheaders, ssllabs

→ Aislar los assets a nivel de red

→ Mantener actualizados el sistema operativo y las imágenes de Docker - watchtower , spacewalkproject

→ Escaneo automático de seguridad para imágenes de contenedores - quay, vulerability & image scanning

→ Aplicar TLS en todos los sitios web y APIs

→ Centralizar todos los logs, archivarlos y hacerlos significativos - loggly, kibana

→ Monitorear los servicios expuestos - checkup

→ Protegerse de ataques DDoS - fastly, cloudflare, cloudfront

→ Restringir por IP el acceso a servicios internos

→ Detectar patrones anómalos en métricas - newrelec , sysdig

• Empresa

→ Ser honesto y transparente con todos los datos que se recopilan

→ Crear una cultura cercana a la seguridad - Security Culture Framework

→ No compartir la red WiFi con visitantes

→ Verificar la seguridad de todos los principales servicios de terceros - Google Apps/Slack/WordPress, etc.

→ Confirmar la protección del nombre de dominio - renovación automática y otras funciones de bloqueo

→ Verificar una política de seguridad pública

→ Usar herramientas para priorizar la seguridad

→ Prepararse para escalar la seguridad

→ Crear un programa de bug bounty - hackerone, cobalt

→ Crear un inventario de los assets de la empresa

→ Crear políticas internas de seguridad

→ Prepararse contra el phishing de dominio

• Usuarios del producto

→ Implementar una política de contraseñas

→ Reforzar la protección de datos personales de los usuarios: bloquear la ingeniería social

→ Recomendar a los usuarios el uso de 2FA. SSO y gestión de cuentas basada en roles - auth0, okta, WebAuthn

→ Detectar comportamiento anómalo de los usuarios - castle