Calidad del software y seguridad de aplicaciones a partir del proceso de desarrollo de software AGILISO y el estándar OWASP
Barra lateral del artículo
Contenido principal del artículo
Resumen
La globalización ha impulsado a todos los sectores industriales hacia la modernización de la obtención, almacenamiento y acceso de información en los procesos de apoyo, misionales y estratégicos, modernización que se han comenzado a hacer prácticamente obligatorios e inmediata a partir de la declaratoria mundial de pandemia, que obligó a que dichos procesos se realicen en la virtualidad toda vez que por parte de los gobiernos se decretaron confinamientos a toda la población; esta circunstancia inesperada decanta en la necesidad imperativa de mejorar tanto las prácticas de desarrollo de software como las pruebas a la seguridad de las aplicaciones que soportan la operación del negocio. En este contexto los responsables de los departamentos de control interno y auditoría de sistemas de información deben generar evaluaciones permanentes tanto a los procesos de desarrollo de software como a la seguridad de las aplicaciones, asegurando el cumplimiento de los estándares internacionales ISO/IEC 27001 e ISO/IEC 29110, verificando que la lógica del negocio este soportada de manera adecuada a través de los desarrollos propios o tercerizados con los que cuentan las organizaciones.
Esta es una propuesta para evaluar la calidad del software a partir del proceso de desarrollo de software AGILISO y la seguridad en las aplicaciones en base al estándar de verificación de seguridad en aplicaciones OWASP, fortaleciendo y optimizando la actividad de auditoría por parte de control interno, auditores y consultores de sistemas de información, permitiendo la propuesta oportuna de planes de acción que procuren la corrección de las desviaciones detectadas.
Detalles del artículo
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0.
Los autores conservan los derechos de autor y ceden a la revista el derecho de la primera publicación y pueda editarlo, reproducirlo, distribuirlo, exhibirlo y comunicarlo en el país y en el extranjero mediante medios impresos y electrónicos. Asimismo, asumen el compromiso sobre cualquier litigio o reclamación relacionada con derechos de propiedad intelectual, exonerando de responsabilidad a la Editorial Tecnológica de Costa Rica. Además, se establece que los autores pueden realizar otros acuerdos contractuales independientes y adicionales para la distribución no exclusiva de la versión del artículo publicado en esta revista (p. ej., incluirlo en un repositorio institucional o publicarlo en un libro) siempre que indiquen claramente que el trabajo se publicó por primera vez en esta revista.
Citas
Agarwal, R., & Umphress, D. (2008). Extreme programming for a single person team. Proceedings of the 46th Annual Southeast Regional Conference, (págs. 82-87). Auburn, Alabama. doi:10.1145/1593105.1593127
Celis Mendoza, O. B. (03 de 07 de 2014). Diferencias, ventajas y desventajas estre Scrum, XP, OpenUp e ISO 12207. Recuperado el 21 de 12 de 2017, de https://prezi.com/vugjhc65whet/diferenecias-ventajas-y-desventajas-entre-scrumxpopenup-y-iso-12207/
Ciudades y Gobiernos Locales Unidos CGLU. (2020). Informe Tecnologías digitales y la pandemia de COVID-19. Recuperado el 18 de mayo de 2021, de eng_briefing_technology_es.pdf (uclg.org)
Eclipse. (30 de 05 de 2012). epf.eclipse.org. Recuperado el 20 de 12 de 2017, de http://epf.eclipse.org/wikis/openup/index.htm
Erazo, P. (2018). Definición de un proceso de Desarrollo de software en modalidad unipersonal combinando ISO/IEC 29110:2014 y metodologías ágiles. Recuperado el 18 de mayo de 2021, de Definición_proceso_desarrollo_proyectos_software_modalidad_unipersonal_combinando_ISO_IEC_29110_2014_procesos_ágiles.pdf (autonoma.edu.co)
Gimson, L. (2012). Metodologías ágiles y desarrollo basado en conocimiento. Tesis, Universidad Nacional de la Plata, Facultad de informática, Argentina. Recuperado el 20 de 12 de 2017, de http://sedici.unlp.edu.ar/bitstream/handle/10915/24942/Documento_completo__.pdf?sequence=1
ICONTEC. (2014). NTC ISO/IEC TR 29110-5-1-2. (ICONTEC, Ed.) Bogotá, Colombia.
IEEE Computer Society. (2014). SWEBOK V.3 Guide to the software engineering body of knowledge (Vol. 3). Piscataway, New Jersey: IEEE. Obtenido de www.swebok.org.
Laporte, C. Y. (2016). La implementación de la norma ISO/IEC 29110 guías de gestión e ingeniería para las organizaciones pequeñas. Congreso internacional de mejora de procesos de software, 5, págs. 69-70. Aguascalientes, México. Recuperado el 15 de 12 de 2017, de https://www.researchgate.net/profile/Claude_Laporte/publication/312874829_La_implementacion_de_la_norma_ISOIEC_29110_Guias_de_Gestion_e_Ingenieria_para_las_organizaciones_pequenas/links/5888aa00458515098e43a754/La-implementacion-de-la-norma-ISO-IEC-29110-
Maida, E. G., & Pacienzia, J. (2015). Metodologías de desarrollo de software. Tesis de Licenciatura en Sistemas y Computación, Pontificia universidad católica de Argentina Santa María de los Buenos Aires, Faculta de química e ingeniería, Buenos Aires, Argentina. Recuperado el 01 de 11 de 2017, de http://bibliotecadigital.uca.edu.ar/repositorio/tesis/metodologias-desarrollo-software.pdf
Microsoft Developer Network. (2013). MSDN. Recuperado el 12 de 12 de 2017, de https://msdn.microsoft.com/es-es/library/dd997578%28v=vs.120%29.aspx?f=255&MSPPError=-2147217396
Organización de las Naciones Unidas para el Desarrollo Industrial (ONUDI). (2015). Informe sobre el desarrollo industrial 2016. El rol de la tecnología y la innovación en el desarrollo industrial inclusivo y sostenible. Viena: ONUDI.
OWASP. (s.f). The open web application security project (OWASP). Recuperado el 18 de mayo de 2021, de Proyecto_OWASP.pdf
OWASP. (2017). Estándar de verificación de seguridad en aplicaciones. Recuperado el 18 de mayo de 2021, de Estándar de Verificación de Seguridad en Aplicaciones 3.0.1 (owasp.org)
Peffers, K., Tuunanen, T., Rothenberger, M., & Chatterjee, S. (s.f.). A Desing Science Research Methodology for Information System Research. Journal of Management Informtion Systems, 24(3), págs. 45-77.
Schwaber, K., & Shuterland, J. (2013). La guía definitiva de Scrum: las reglas del juego. ScrumGuides. Scrum.org and ScrumInc. Recuperado el 19 de 12 de 2017, de http://www.scrumguides.org/docs/scrumguide/v1/scrum-guide-es.pdf
Sommerville, I. (2011). Sofwtare engineering (Novena edición ed.). Boston, Masachussets: Pearson Educación.
Soto Duran, D. E., & Reyes Gamboa, A. X. (2010). Introduciendo PSP (Proceso Personal de Software) en el Aula. Revista Colombiana de Tecnologías de Avanzada, 2(16), 1-5. Obtenido de http://www.unipamplona.edu.co/unipamplona/portalIG/home_40/recursos/03_v13_18/revista_16/27102011/01.pdf
Szulanski, G. (1996). Exploring Internal Stickiness: Impediments to the Transfer of Best Practice Within the Firm. Strategic Management Journal, 17, 27-43. Recuperado el 23 de septiembre de 2018, de http://www.jstor.org/stable/2486989
Watts, H. (2000). The Personal Software Process (PSP) (CMU/SEI-2000-TR-022). Carnie Mellon University: Software Engineering Institute. Recuperado el 31 de Agosto de 2018, de https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=5283
Wells, D. (1999). The Rules of Extreme Programming. Recuperado el 23 de septiembre de 2018, de http://www.extremeprogramming.org/rules.html
Zapata, J, (2018). Udo de tecnologías de pruebas de penetración para validación de seguridad de aplicaciones web basado en el top 10 de vulnerabilidades de OWASP. Recuperado el 18 de mayo de 2021, de Microsoft Word - Proyecto de Grado - Juliana Zapata V16.docx (unad.edu.co)