Costa Rica fue parte esta semana del tour de la Open Web Application Security Proyect (OWASP) que inició el pasado 8 de abril en Chile y ha venido recorriendo el continente con el fin de incentivar la ciberseguridad en profesionales en ese campo que tienen a su cargo sitios o aplicaciones.
La actividad incluyó ocho conferencias con especialistas nacionales y extranjeros y contó con la asistencias de más de sesenta encargados de la seguridad informática, de tecnologías de la información y desarrolladores de software de instituciones públicas, empresas privadas, municipalidades, cooperativas, universidades, ministerios y entidades bancarias.
La OWASP Latam Tour 2015 se realizó con el apoyo de la Organización de Estados Americanos y el anfitrión en el país fue el Centro de Investigaciones en Tecnologías de la Información y la Comunicación (CITIC) de la Universidad de Costa Rica.
Este tour que inició en Santiago de Chile, ha transitado por Argentina, Brasil, Uruguay, Perú, Bolivia y después de pasar por San José seguirá su recorrido hacia Guatemala y concluirá simultáneamente en Buenos Aires y Caracas este viernes 24 de abril.
La directora del CITIC Dra. Gabriela Marín Raventós, dio la bienvenida a los participantes y los incentivó para que pudieran aprender y compartir información con el fin de que América Latina se pueda convertir en un lugar digitalmente más seguro.
La Dra Marín recordó que el mundo de hoy depende de las computadoras y las redes de comunicación para su quehacer y añadió que “conocer los riesgos de seguridad de las aplicaciones y de las plataformas informáticas se ha convertido en un imperativo”
Por su parte, el representante de la Organización de Estados Americanos en Costa Rica, Dr. Belisario Contreras manifestó que el propósito de este tour es que los gobiernos de los estados miembros de la OEA, se puedan acercar a los actores de la sociedad civil y del sector privado, y recomendarles los mecanismos más actuales para mejorar la seguridad en las aplicaciones informáticas.
“Nuestra secretaría ha establecido un acuerdo de cooperación desde hace algunos años donde se han venido realizando actividades de capacitación en Costa Rica”, dijo Contreras y añadió que estos planes se han implementado acordes con la Estrategia Interamericana de Seguridad Cibernética que fue aprobada en el 2004, así como por la Declaración de Fortalecimiento de la Seguridad Cibernética aprobada por los estados miembros en el 2012 y finalmente en el 2015 por la nueva Declaración sobre fortalecimiento y protección de infraestructuras críticas.
El encuentro sobre seguridad informática que se realizó en el auditorio de la Ciudad de la Investigación el martes 21 de abril, inició con la conferencia del especialista argentino radicado en Irlanda, Fabio Cerullo quien ofreció varias recomendaciones sobre el tema del Desarrollo rápido y seguro de aplicaciones (ver recuadro).
Durante el día los expositores desarrollaron temas como: implementación estratégica de software seguro, manejo seguro del DNS, buenas prácticas para el manejo de autenticación y sesión, así como vulnerabilidades encontradas en sistemas de control de tráfico nacional.
También se trataron temas como la amenazas a los sitios y aplicaciones web en relación con los gobiernos electrónicos en América Latina.
Fabio Cerullo primer conferencista de la OWASP Latam Tour 2015 en Costa Rica recomendó que los desarrolladores de aplicaciones deben capacitarse para que se certifiquen y puedan optimizar la seguridad de sus productos durante todo el proceso y no solo al final con un test.
Esto, dijo Cerullo, con el fin de no tener doble trabajo una vez finalizada la aplicación y proceder a hacer cambios después de probar y detectar vulnerabilidades.
“El principal problema es que estamos usando aplicaciones que no son seguras” afirmó el especialista sobre todo en Internet de las cosas (computación ubicua) “La clave para cambiar esto, es que las áreas de desarrollo y seguridad se comuniquen, para poder hablar de desarrollo seguro” .
Al respecto mencionó Cerullo que además de fortalecer a los desarrolladores se debe hacer un modelado de amenazas para aplicarlo en la parte de diseño. Para lograrlo recomendó que las áreas técnicas y de negocios de una empresa desarrolladora se reúnan para pensar cómo un hacker podría atacar su trabajo. También sugirió usar herramientas que previenen a los desarrolladores que están introduciendo vulnerabilidades en el código.
Si se toman en cuenta estas propuestas, el conferencista considera que se lograría “menos duplicación de trabajo y ciclos de desarrollo más rápidos” que es lo que al final le interesa al cliente de la aplicación o a la empresa desarrolladora.