WIXLIB

Iniciando en DesarrolloSeguro¿Por dónde Empezar?Presentador:Gabriel RobalinoCPTE, CSWAE

Acerca de mi Ingeniero de Software5 años de experiencia en desarrolloC/C , C#, Java, Python3 años en seguridadEvaluaciones de SeguridadAutomatización de procesos

¿Por qué esta charla?¡No más lágrimas!

Situación ActualINTRODUCCIÓN

Anhelo“Aplicaciones Seguras ejecutándosesobre Sistemas Seguros en RedesSeguras”

Desafíos Las tres restricciones tradicionalesAusencia de conocimientos de seguridadLa seguridad como reflexión tardíaControles Técnicos sobre AdministrativosSeguridad vs “Usabilidad”

¿Cómo ódigo Seguro

¿Sabemos de seguridad?ALINEANDO CONCEPTOS

Conceptos de nticationAuthorizationAccountabilityLeast PrivilegeSeparation ofDutiesDefense inDepthFail SecureEconomy ofMechanismsCompleteMediationOpen DesignLeast CommonMechanismsPsychologicalAcceptabilityWeakest LinkLeveraging ExistingComponentsCoreDesign

Gestión de Riesgovaloradesea minimizarreducePropietariosimponepuede tenerControlproducereducido porexponepuede ser consciente nazadesea abusarAgente deAmenazaActivos

ESTÁNDARES DE SEGURIDAD

Estándar NIST Desarrolla tecnologías, métodos de medición ynormas. Mejora calidad y capacidades Promueve la innovación Documentación– Special Publications (SP 800-XX)– Federal Information Processing Standards (FIPS)

Estándares ISO Estándar InternacionalNorma productos y serviciosAplica a cualquier organizaciónAlgunas a consideraro ISO/IEC 15408 – Common Criteriao ISO/IEC 21827 – SSE-CMMo ISO/IEC 15504 – SPICE

PCI Standard Estándar de Industria Protección de datos del tarjetahabienteo Almacenaro Procesaro Transmitir Documentacióno PCI DSS v3.2o PA DSS v3.2

METODOLOGÍAS DEASEGURAMIENTO DE SOFTWARE

Metodologías TradicionalesDesarrollo Tradicional Modelo Cascada Iterativo/Prototipo Espiral/EvolutivoDesarrollo Ágil Programación Extrema (XP) SCRUM Desarrollo Adaptativo

Hitos decisivos

Six Sigma (6σ) Estrategia de gestión de negociosMejorar Eliminación de DefectosDefectos son desviaciones de las especificaciones.DMAIC (Define, Measure, Analyze, Improve and Control)DMADV (Define, Measure, Analyze, Designe and Verify)NOTA: Sigue siendo inseguro si no se incluyen requerimientos de seguridad

Capability Maturity Model Integration(CMMI) Mejora de los procesos Tres áreas: Development, Delivery and Adquisition Cinco niveles de madures:oooooNivel 1 – InicialNivel 2 – Administrado o RepetibleNivel 3 – DefinidoNivel 4 – Administrado CuantitativamenteNivel 5 - Optimizado

Operationally Critical Threat Asset andVulnerabiliy Evaluation (OCTAVE )Fase 1 – Vista OrganizacionalActivosAmenazasPracticas ActualesVulnerabilidadesRequerimientos de SeguridadFase 2 – Vista TecnológicaComponentes clavesVulnerabilidadesFase 3 – Estrategia y Plan deDesarrolloRiesgosEstrategia de ProtecciónPlan de Mitigación

Otras MetodologíasSTRIDE Modelamiento de on DisclosureDenial of ServiceElevation of PrivilegeDREAD Clasificación de RiesgooooooDamage potencialReproducibilityExploitabilityAffected usersDiscoverability

Open Web Application Security Project (OWASP)BUENAS PRÁCTICAS

Open Web Application SecurityProyect (OWASP)

Open Web Application SecurityProyect (OWASP) OWASP Testing GuideOWASP Development GuideOWASP Code Review GuideEstándar de verificación de seguridad (ASVS)APIs de SeguridadAnalizadores de vulnerabilidadesLaboratorio de EntrenamientoTalleres de SeguridadOWASP TOP 10 (Web and Mobile)

En resumen Conocer conceptos claves de seguridadContar con una metodología de aseguramiento*Requerimientos de Seguridad y Negocio unificadosAdoptar buenas prácticasAprovechar las herramientas públicaso OWASPo SAMMo BSIMM

GRACIAS

Iniciando en Desarrollo Seguro ¿Por dónde Empezar? Presentador: Gabriel Robalino CPTE, CSWAE