🚀 Nuevas herramientas online y gratuitas de CiberseguridadDale un vistazo 👀 →
DivisionCero

Política de Desarrollo Seguro

Directrices para integrar seguridad en todo el ciclo de vida del software

Política de Desarrollo Seguro

Propósito

Definir las directrices para integrar seguridad en todo el ciclo de vida del software, desde el diseño hasta el despliegue y mantenimiento. La política asegura que la seguridad sea parte fundamental de la arquitectura, el código y las operaciones.

Alcance

Aplica a todo desarrollo interno y contribuciones de terceros. Cubre software, aplicaciones web y cualquier componente técnico que forme parte de la arquitectura de la organización.

Ciclo de Vida de Desarrollo Seguro (SDLC)

La seguridad debe estar integrada en cada fase del SDLC. El objetivo es identificar riesgos temprano y reducir vulnerabilidades antes del despliegue.

El SDLC incluye:

  • Modelado de amenazas en la fase de diseño.
  • Definición de requisitos de seguridad basados en riesgos.
  • Pruebas de seguridad estáticas y dinámicas.
  • Revisiones de código enfocadas en seguridad.
  • Pruebas de penetración antes del despliegue.
  • Integración continua de controles de seguridad en la arquitectura.
  • Registro de actividades que usen datos operacionales en pruebas.
  • Uso de datos en prueba solo si están eliminados, anonimizados o enmascarados.
  • Eliminación segura de datos operacionales de los entornos de prueba al finalizar.

Estándares de Codificación Segura

Los desarrolladores deben aplicar prácticas de codificación segura y prevenir vulnerabilidades comunes como inyección SQL, XSS, CSRF y fallos de autenticación. Se aplican principios de mínimo privilegio, validación estricta y manejo seguro de errores.

Separación de Entornos

Los entornos de desarrollo, prueba y producción deben mantenerse separados. No debe existir confianza automática entre ellos. Los controles de acceso deben ser equivalentes a los de producción, especialmente para entornos de prueba.

Componentes de Terceros

El uso de librerías y servicios externos requiere:

  • Aprobación del equipo de seguridad.
  • Evaluación previa de vulnerabilidades.
  • Actualizaciones periódicas para mitigar riesgos.
  • Validación de que el proveedor cumpla prácticas adecuadas de seguridad.

Firewall de Aplicaciones Web (WAF)

Todas las aplicaciones web deben estar protegidas por un WAF configurado con reglas alineadas al principio de funcionalidad mínima y protección ante ataques conocidos.

Cumplimiento

El cumplimiento de esta política es obligatorio para todos los equipos involucrados en desarrollo. Cualquier incumplimiento puede generar acciones disciplinarias.

Monitoreo y Revisión

Esta política debe revisarse y actualizarse regularmente para alinearse con nuevas amenazas, tecnologías y prácticas de ingeniería segura. La supervisión del CISO y la alta gerencia es clave para asegurar su efectividad.

¿Te ha resultado útil esta página?

Última modificación: 24 de noviembre de 2025

Política de Registro y Monitoreo

Registro de eventos y monitoreo de seguridad de sistemas

Política de Continuidad del Negocio

Directrices para asegurar la continuidad de funciones críticas durante y después de interrupciones