Enseñar a los desarrolladores a diseñar, implementar y probar APIs financieras cumpliendo con los requisitos técnicos de la normativa DORA.
>> Índice <<
1. Introducción a DORA desde la Perspectiva Técnica
• Resumen de los artículos clave de DORA aplicables a las APIs.
• Qué deben implementar los equipos de desarrollo para garantizar la conformidad con DORA.
• Ejercicio: Identificación de brechas de seguridad en una API ya existente que no cumple con DORA.
2. Integración de Pruebas Automatizadas en APIs
• Cómo implementar pruebas de seguridad automatizadas para cumplir con las pruebas de resiliencia operativa requeridas por DORA.
• Herramientas de automatización para pruebas de API: Postman, OWASP ZAP, Jenkins.
• Ejercicio práctico: Implementación de un pipeline de CI/CD con pruebas automatizadas que incluyan pruebas de penetración, escaneo de vulnerabilidades y revisiones de código en una API financiera.
3. Autenticación y Autorización Segura
• Implementación de OAuth 2.0 y JWT para garantizar que las APIs sigan las mejores prácticas de seguridad.
• Cómo aplicar multifactor authentication (MFA) como parte de la seguridad requerida por DORA.
• Ejercicio práctico: Configuración de autenticación MFA y autorización basada en roles en una API REST.
4. Evaluación y Gestión de Riesgos de Terceros
• Identificación y monitoreo de riesgos de proveedores externos que acceden a APIs críticas.
• Implementación de auditorías automatizadas para evaluar la seguridad de APIs de terceros.
• Ejercicio: Auditoría de una API de un proveedor externo utilizando herramientas de escaneo de vulnerabilidades como Burp Suite.
5. Resiliencia Operativa a través de Monitoreo Continuo
• Cómo implementar monitoreo en tiempo real para detectar fallos de seguridad en APIs antes de que impacten las operaciones.
• Herramientas como ELK Stack (Elasticsearch, Logstash, Kibana) para monitoreo y generación de alertas en APIs.
• Ejercicio práctico: Configuración de un entorno de monitoreo continuo para una API crítica, generando alertas automáticas ante incidentes de seguridad.
To leave a comment, please authenticate.
