Casi a título de inventario y para que no se me pierda, una referencia a un estudio sobre este conocido ERP, [PDF] SAP Security in figures – a global survey 2007-2011.
Como resumen, a partir de 2009 parece que empieza a despegar el interés de los investigadores por esta plataforma y tiene sus fallos, como no podía ser de otra forma.
Revisando el baúl de los recuerdos (esas lecturas que se quedan en el kindle pendientes de algo) rescato este informe del INTECO: [PDF] Seguridad en sitios web con consejos a tres niveles:
– Detección de los ataques
– Minimizar los daños producidos por un ataque
– Puesta en marcha de medidas preventivas para evitar que un sistema llegue a estar comprometido
Empezamos la vuelta al cole suavecito, con un par de informes. No por su
interés (que puede que lo tengan y puede que no), sino por sus valores
‘laterales’.
En White Paper: SecureSphere and OWASP 2010 Top Ten Most Critical Web Application Security Risks (requiere registro) un informe sobre un producto, Securesphere, al que conforme iba echando un vistazo ayer iba pensando que tenía valo por los parrafitos en ls que se comenta cada uno de los fallos del OWASP Top 10 2010. A veces, las buenas explicaciones sobre otras cosas vienen cuando uno necesita explicar algo más sofisticado, porque se esmera en simplicar la explicación de lo que necesita como paso previo.
Otro infome que también me viene bastante bien en un sentido similar es el de White Paper: Next Generation Web Application Firewalls (NG-WAF), porque aparece una cronología de las regulaciones que han ido apareciendo a lo largo del tiempo en reacción a determinados incidentes y problemas de seguridad. Lamentablemente, no consigo encontrarla de manera individual por la web, así que hay que bajarse el informe para echarle un ojo. También requiere registro.
No se dónde lo vi pero lo pongo aquí como curiosidad: nadie medianamente introducido va a aprender mucho leyéndolo (es cortito) pero nos reafirma en el mal estado desde el punto de vista de la seguridad más básica de muchas organizaciones (incluso las de perfil técnico más elevado, como es la NASA). Se puede leer o descargar de NASA Cybersecurity Report. Inadequate Security Practices Expose Key NASA Network To Cyberattack.
Ya hablamos en su momento de PCI:
Después ha habido dudas y quejas de los implicados en su uso e implantación. Verizon se ocupa, entre otras cosas, de asesorar a empresas en estos temas y han lanzado el informe [pdf] 2010 Payment Card industry Compliance Report, donde se analiza el nivel de implantación de las organizaciones a las que asesoran.
Uno de los temas que más me interesan, el del desarrollo seguro es uno de los que se señalan como flojos en las organizaciones (6.5 desarrollo seguro de aplicaciones web), aunque el informe apunta algunos puntos débiles más.
Mbpfernand0's Blog 