Ir al contenido principal

37. Metodología de Ciclo de Vida de Desarrollo

👉 Esta actividad te ayuda a cumplir los siguientes controles:

  • ISO 27001 en su versión 2013: A.14.1.1, A.14.2.2

  • ISO 27001 en su versión 2022: A.5.8, A.8.32

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a documentar la metodología más adecuada para el desarrollo de software dentro de tu empresa, y asegurar que se aplican las mejores prácticas de seguridad en cada una de las etapas del desarrollo.

💡 La implementación de esta metodología te permite tener un mejor control y trazabilidad sobre los cambios realizados al código de tus sistemas, identificar y asignar a los responsables más capacitados, y estandarizar tus procesos.

¿Qué tengo que hacer? 🚀

La documentación de esta metodología debe abarcar todas aquellas actividades relacionadas con el desarrollo y mantenimiento de un software, desde la definición de los requerimientos, hasta el paso a producción, e incluso el monitoreo de la funcionalidad desarrollada.

Ahora bien, para generar este documento te sugerimos comenzar por definir qué metodología para desarrollo de software se va a implementar dentro de la empresa.

💡 Algunas de las metodologías ágiles más utilizadas, tanto para el desarrollo como para la gestión de proyectos son:

  • Scrum, basada en realizar iteraciones en periodos de tiempo cortos y fijos llamados sprints, con el objetivo de conseguir un entregable completo en cada iteración.

  • Kanban, que consiste en dividir tareas muy grandes en tareas más pequeñas y manejables. Estas se organizan dentro de un tablero de trabajo dividido en etapas de avance, como por ejemplo backlog, en proceso, hecho, etcétera.

  • Lean, recomendada para equipos pequeños de desarrollo, de manera que puedan elaborar cualquier tarea en poco tiempo. Entre los aspectos más importantes de esta metodología están el aprendizaje, la mejora continua y la calidad del producto.

Una vez identificada la metodología de desarrollo usada por la empresa, se deben documentar las actividades que se realizan en cada una de las etapas involucradas. Tomando como ejemplo la metodología SCRUM, las actividades que recomendamos considerar y documentar son las siguientes:

  1. Solicitud de un nuevo requerimiento.

  2. Priorización de los requerimientos.

  3. Planificación del sprint (sprint planning).

  4. Seguimiento diario (daily).

  5. Demostración del desarrollo.

  6. Aplicación de pruebas.

  7. Paso a producción.

  8. Comunicación.

Al tener todas las etapas y actividades documentadas, podrás analizar e identificar más fácilmente las medidas de seguridad que necesites aplicar para garantizar que tus desarrollos son seguros, como por ejemplo:

  • Escaneos del código fuente, por medio de herramientas especializadas para identificar errores y vulnerabilidades.

  • Revisión, autorización y monitoreo de los pasos a producción.

  • Registro de los cambios para tener trazabilidad y monitoreo.

  • Análisis de los posibles riesgos al implementar los cambios y/o nuevas funcionalidades.

  • Asignación adecuada de responsables y encargados dentro de la metodología.

Esta metodología debe estar alineada a la Política de Desarrollo Seguro de la organización.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu metodología fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Utiliza la metodología más adecuada para tus operaciones. Incluso puedes ajustarla a tus necesidades, añadiendo pasos o requisitos, siempre y cuando se alinee a las mejores prácticas de seguridad de la industria y cumpla los requisitos normativos.

  • Capacita y entrena periódicamente a tus colaboradores en las mejores prácticas de desarrollo. ¡Para ello recuerda que puedes apoyarte en nuestro módulo de Capacitaciones, y tomar el taller de Capacitación de Desarrollo Seguro que Hackmetrix tiene para ti!

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
36. Política de Desarrollo Seguro
27. Política de Desarrollo Seguro
26. Metodología de Ciclo de Vida de Desarrollo
47. Metodología de Pruebas de Penetración
Metodología de Ciclo de Vida de Desarrollo
¿Ha quedado contestada tu pregunta?