Transcription
Iniciando en DesarrolloSeguro¿Por dónde Empezar?Presentador:Gabriel RobalinoCPTE, CSWAE
Acerca de mi Ingeniero de Software5 años de experiencia en desarrolloC/C , C#, Java, Python3 años en seguridadEvaluaciones de SeguridadAutomatización de procesos
¿Por qué esta charla?¡No más lágrimas!
Situación ActualINTRODUCCIÓN
Anhelo“Aplicaciones Seguras ejecutándosesobre Sistemas Seguros en RedesSeguras”
Desafíos Las tres restricciones tradicionalesAusencia de conocimientos de seguridadLa seguridad como reflexión tardíaControles Técnicos sobre AdministrativosSeguridad vs “Usabilidad”
¿Cómo ódigo Seguro
¿Sabemos de seguridad?ALINEANDO CONCEPTOS
Conceptos de nticationAuthorizationAccountabilityLeast PrivilegeSeparation ofDutiesDefense inDepthFail SecureEconomy ofMechanismsCompleteMediationOpen DesignLeast CommonMechanismsPsychologicalAcceptabilityWeakest LinkLeveraging ExistingComponentsCoreDesign
Gestión de Riesgovaloradesea minimizarreducePropietariosimponepuede tenerControlproducereducido porexponepuede ser consciente nazadesea abusarAgente deAmenazaActivos
ESTÁNDARES DE SEGURIDAD
Estándar NIST Desarrolla tecnologías, métodos de medición ynormas. Mejora calidad y capacidades Promueve la innovación Documentación– Special Publications (SP 800-XX)– Federal Information Processing Standards (FIPS)
Estándares ISO Estándar InternacionalNorma productos y serviciosAplica a cualquier organizaciónAlgunas a consideraro ISO/IEC 15408 – Common Criteriao ISO/IEC 21827 – SSE-CMMo ISO/IEC 15504 – SPICE
PCI Standard Estándar de Industria Protección de datos del tarjetahabienteo Almacenaro Procesaro Transmitir Documentacióno PCI DSS v3.2o PA DSS v3.2
METODOLOGÍAS DEASEGURAMIENTO DE SOFTWARE
Metodologías TradicionalesDesarrollo Tradicional Modelo Cascada Iterativo/Prototipo Espiral/EvolutivoDesarrollo Ágil Programación Extrema (XP) SCRUM Desarrollo Adaptativo
Hitos decisivos
Six Sigma (6σ) Estrategia de gestión de negociosMejorar Eliminación de DefectosDefectos son desviaciones de las especificaciones.DMAIC (Define, Measure, Analyze, Improve and Control)DMADV (Define, Measure, Analyze, Designe and Verify)NOTA: Sigue siendo inseguro si no se incluyen requerimientos de seguridad
Capability Maturity Model Integration(CMMI) Mejora de los procesos Tres áreas: Development, Delivery and Adquisition Cinco niveles de madures:oooooNivel 1 – InicialNivel 2 – Administrado o RepetibleNivel 3 – DefinidoNivel 4 – Administrado CuantitativamenteNivel 5 - Optimizado
Operationally Critical Threat Asset andVulnerabiliy Evaluation (OCTAVE )Fase 1 – Vista OrganizacionalActivosAmenazasPracticas ActualesVulnerabilidadesRequerimientos de SeguridadFase 2 – Vista TecnológicaComponentes clavesVulnerabilidadesFase 3 – Estrategia y Plan deDesarrolloRiesgosEstrategia de ProtecciónPlan de Mitigación
Otras MetodologíasSTRIDE Modelamiento de on DisclosureDenial of ServiceElevation of PrivilegeDREAD Clasificación de RiesgooooooDamage potencialReproducibilityExploitabilityAffected usersDiscoverability
Open Web Application Security Project (OWASP)BUENAS PRÁCTICAS
Open Web Application SecurityProyect (OWASP)
Open Web Application SecurityProyect (OWASP) OWASP Testing GuideOWASP Development GuideOWASP Code Review GuideEstándar de verificación de seguridad (ASVS)APIs de SeguridadAnalizadores de vulnerabilidadesLaboratorio de EntrenamientoTalleres de SeguridadOWASP TOP 10 (Web and Mobile)
En resumen Conocer conceptos claves de seguridadContar con una metodología de aseguramiento*Requerimientos de Seguridad y Negocio unificadosAdoptar buenas prácticasAprovechar las herramientas públicaso OWASPo SAMMo BSIMM
GRACIAS
Iniciando en Desarrollo Seguro ¿Por dónde Empezar? Presentador: Gabriel Robalino CPTE, CSWAE