SlideShare ist ein Scribd-Unternehmen logo

Desarrollo de software seguro: una visión con OpenSAMM

Internet Security Auditors
Internet Security Auditors

Se presenta OpenSAMM como iniciativa para ayudar a las organizaciones a diseñar e implementar una estrategia para la creación de software seguro. Los recursos facilitatos por OpenSAMM ayudan a evaluar las prácticas de seguridad existentes, demostrar mejoras concretas, definir y medir actividades relacionadas con la seguridad, así como construir un programa que garantice la seguridad en el desarrollo de software.

1 von 44
Downloaden Sie, um offline zu lesen
C. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 C. Arequipa, 1 I E-28043 Madrid (Spain) I Tel: +34 91 763 40 47 I Fax: +34 91 382 03 96 info@isecauditors.com I www.isecauditors.com Desarrollo de software seguro: una visión con OpenSAMM Vicente Aguilera Díaz Internet Security Auditors 09/05/2012 – Zaragoza
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 2 Desarrollo de software seguro: una visión con OpenSAMM ¿Quién soy? • CISA, CISSP, CSSLP, ITIL, CEH|I, ECSP|I, PCI ASV, OPSA,OPST • Socio y Director del Dpto. de Auditoría en Internet Security Auditors • OWASP Spain Chapter Leader • Miembro del Consejo Técnico Asesor de la revista RedSeguridad • Miembro del Jurado de los Trofeos de la Seguridad TIC • Colaborador en distintos proyectos (OWASP Testing Guide, WASC Threat Classification, OISSG ISSAF, WASC Articles, etc.) • Ponente en congresos del sector (ExpoQA, IGC, RedIRIS, OWASP, FIST, HackMeeting, ISACA, Respuestas SIC, AdwysCon, Infosecura, etc.) • Publicación de vulnerabilidades (Oracle, Facebook, Gmail, etc.) y artículos en medios especializados (SIC, RedSeguridad, WASC, etc.)
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 3 Desarrollo de software seguro: una visión con OpenSAMM Agenda 1. Necesitamos construir software seguro 2. El SDLC seguro es la clave 3. OpenSAMM como estrategia de seguridad 4. Aplicando el modelo OpenSAMM 5. Conclusiones
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 4 Desarrollo de software seguro: una visión con OpenSAMM 1│Necesitamos construir software seguro
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 5 Desarrollo de software seguro: una visión con OpenSAMM “In the 80’s we wired the world with cables and in the 90’s we wired the world with computer networks. Today we are wiring the world with applications (software). Having a skilled professional capable of designing, developing and deploying secure software is now critical to this evolving world.” Mark Curphey Director & Product Unit Manager, Microsoft Corporation Founder of Open Web Application Security Project (OWASP)
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 6 Desarrollo de software seguro: una visión con OpenSAMM ¿Porqué resulta ahora crítico? • Las aplicaciones web resultan muy atractivas • La trinidad de los problemas: • Conectividad • Complejidad • Extensibilidad … y existen estándares de obligado cumplimiento! (PCI DSS, SOX, GLB Act, HIPAA, FISMA, …) Nuestra vida cotidiana depende del software
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 7 Desarrollo de software seguro: una visión con OpenSAMM Todo es posible en la web…
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 8 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 9 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 10 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 11 Desarrollo de software seguro: una visión con OpenSAMM ¿Qué es software seguro? • Diseñado, construido y probado para ser seguro • Continúa ejecutándose correctamente bajo un ataque • Diseñado con el fallo en mente Romper algo es más fácil que diseñar algo para que no pueda ser roto
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 12 Desarrollo de software seguro: una visión con OpenSAMM ¿Qué es software seguro? Improving Web Application Security: Threats and countermeasures
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 13 Desarrollo de software seguro: una visión con OpenSAMM 2│El SDLC seguro es la clave
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 14 Desarrollo de software seguro: una visión con OpenSAMM El SDLC seguro es la clave • SDLC basado en principios de seguridad • No existe una fórmula única para todas las organizaciones • Requiere involucrar los siguientes factores: • Personas • Procesos • Tecnología SDLC genérico
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 15 Desarrollo de software seguro: una visión con OpenSAMM Buenas prácticas • Microsoft SDL (Secure Development Lifecycle) • OWASP CLASP (Comprehensive, Lightweight Application Security Process) • Cigital Software Security Touchpoints • OWASP OpenSAMM (Software Assurance Maturity Model) • BSIMM (Building Security In Maturity Model) • SSE CMM (Secure Software Engineering Capability Maturity Model)
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 16 Desarrollo de software seguro: una visión con OpenSAMM 3│OpenSAMM como estrategia de seguridad
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 17 Desarrollo de software seguro: una visión con OpenSAMM OWASP OpenSAMM • Marco abierto para ayudar a las organizaciones a diseñar e implementar una estrategia para la creación de software seguro • Los recursos facilitados por OpenSAMM ayudan a: • Evaluar las prácticas de seguridad existentes • Demostrar mejoras concretas • Definir y medir actividades relacionadas con la seguridad • Construir un programa de aseguramiento de la seguridad en software
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 18 Desarrollo de software seguro: una visión con OpenSAMM OWASP OpenSAMM
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 19 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Estrategia y métricas
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 20 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Política y cumplimiento
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 21 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Educación y orientación
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 22 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Evaluación de amenazas
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 23 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Requisitos de seguridad
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 24 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Arquitectura de seguridad
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 25 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Revisión de diseño
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 26 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Revisión de código
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 27 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Pruebas de seguridad
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 28 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Gestión de vuln.
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 29 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Securización del entorno
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 30 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Habilitación operativa
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 31 Desarrollo de software seguro: una visión con OpenSAMM 4│Aplicando el modelo OpenSAMM
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 32 Desarrollo de software seguro: una visión con OpenSAMM Aplicando OpenSAMM • Realizar una revisión inicial • Medir las prácticas de la organización frente las prácticas de seguridad definidas por el modelo • Definir el nivel de madurez actual • Dos estilos de revisiones • Ligero • Detallado
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 33 Desarrollo de software seguro: una visión con OpenSAMM Aplicando OpenSAMM • Construir programas de aseguramiento de la seguridad • Crear una hoja de ruta o usar una plantilla • Realizar las actividades prescritas para alcanzar el nivel de madurez esperado
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 34 Desarrollo de software seguro: una visión con OpenSAMM Hojas de trabajo para las revisiones
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 35 Desarrollo de software seguro: una visión con OpenSAMM Creando tarjetas de calificaciones • Permite demostrar la evolución • Basado en las puntuaciones asignadas a cada práctica de seguridad • Puede resultar tan simple como un conjunto de 12 puntuaciones para un momento concreto
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 36 Desarrollo de software seguro: una visión con OpenSAMM Hoja de ruta • Define la estrategia de implementación • Es una estrategia a largo plazo • Depende de las prioridades de cada organización
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 37 Desarrollo de software seguro: una visión con OpenSAMM ¿Cuáles son los beneficios? • Permite implementar las mejores prácticas utilizadas hoy y aprovechar la experiencia en su implementación • Proporciona una manera de revisar el estado de una organización y priorizar los cambios • Proporciona una manera de construir un programa de seguridad en el desarrollo mediante iteraciones claramente definidas • Permite definir y medir actividades relacionadas con la seguridad • Permite demostrar mejoras concretas en la seguridad
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 38 Desarrollo de software seguro: una visión con OpenSAMM 5│Conclusiones
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 39 Desarrollo de software seguro: una visión con OpenSAMM Conclusiones • La mayoría de los ataques se producen en la capa de aplicación • Necesitamos invertir más en la protección de nuestras aplicaciones • Necesitamos crear software seguro • Necesitamos adoptar una estrategia de seguridad para la creación de software • El software seguro es el resultado de múltiples actividades • Requiere involucrar personas, procesos y tecnología
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 40 Desarrollo de software seguro: una visión con OpenSAMM Conclusiones • Mejorar la seguridad del software implica un cambio cultural en la organización • Debemos cambiar la forma en la que trabaja nuestra organización
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 41 Desarrollo de software seguro: una visión con OpenSAMM 6│Referencias
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 42 Desarrollo de software seguro: una visión con OpenSAMM Referencias • Improving Web Application Security: • OWASP OpenSAMM: • The Ten Best Practices for Secure Software Development: http://www.isc2.org/uploadedFiles/(ISC)2_Public_Content/Certificat ion_Programs/CSSLP/ISC2_WPIV.pdf http://msdn.microsoft.com/en-us/library/ff649874.aspx http://www.opensamm.org • PCI Data Security Standard https://www.pcisecuritystandards.org
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 43 Desarrollo de software seguro: una visión con OpenSAMM ? preguntas / comentarios / sugerencias Muchas gracias por su atención!
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 44 Desarrollo de software seguro: una visión con OpenSAMM Su Seguridad es Nuestro Éxito Vicente Aguilera Díaz Director Departamento Auditoría Internet Security Auditors vaguilera@isecauditors.com C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 www.isecauditors.com

Empfohlen

La transformacion DevOps
La transformacion DevOpsLa transformacion DevOps
La transformacion DevOpsAlex Canizales Castro
 
Arquitecturas de software exposicion
Arquitecturas de software exposicionArquitecturas de software exposicion
Arquitecturas de software exposicionjuca piro
 
Aseguramiento de la calidad en software III
Aseguramiento de la calidad en software IIIAseguramiento de la calidad en software III
Aseguramiento de la calidad en software IIITensor
 
Garantia del software aplicativo
Garantia del software aplicativoGarantia del software aplicativo
Garantia del software aplicativoEvaluandoSoftware
 
Desde la Estrategia, Diseño e Implementación de una PMO Agile
Desde la Estrategia, Diseño e Implementación de una PMO AgileDesde la Estrategia, Diseño e Implementación de una PMO Agile
Desde la Estrategia, Diseño e Implementación de una PMO AgilePMOfficers PMOAcademy
 
Gestión de proyectos tiempos
Gestión de proyectos tiemposGestión de proyectos tiempos
Gestión de proyectos tiemposToÑo Granda Salvador
 
Programa auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de softwarePrograma auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de softwareAlex Rafael Polanco Bobadilla
 
Arquitectura Empresarial 11.0
Arquitectura Empresarial 11.0Arquitectura Empresarial 11.0
Arquitectura Empresarial 11.0Jorge Mario Calvo Londoño
 

Empfohlen

La transformacion DevOps
La transformacion DevOpsLa transformacion DevOps
La transformacion DevOpsAlex Canizales Castro
 
Arquitecturas de software exposicion
Arquitecturas de software exposicionArquitecturas de software exposicion
Arquitecturas de software exposicionjuca piro
 
Aseguramiento de la calidad en software III
Aseguramiento de la calidad en software IIIAseguramiento de la calidad en software III
Aseguramiento de la calidad en software IIITensor
 
Garantia del software aplicativo
Garantia del software aplicativoGarantia del software aplicativo
Garantia del software aplicativoEvaluandoSoftware
 
Desde la Estrategia, Diseño e Implementación de una PMO Agile
Desde la Estrategia, Diseño e Implementación de una PMO AgileDesde la Estrategia, Diseño e Implementación de una PMO Agile
Desde la Estrategia, Diseño e Implementación de una PMO AgilePMOfficers PMOAcademy
 
Gestión de proyectos tiempos
Gestión de proyectos tiemposGestión de proyectos tiempos
Gestión de proyectos tiemposToÑo Granda Salvador
 
Programa auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de softwarePrograma auditoria ciclo de vida al desarrollo de software
Programa auditoria ciclo de vida al desarrollo de softwareAlex Rafael Polanco Bobadilla
 
Arquitectura Empresarial 11.0
Arquitectura Empresarial 11.0Arquitectura Empresarial 11.0
Arquitectura Empresarial 11.0Jorge Mario Calvo Londoño
 
Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadSistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadChema Alonso
 
IEEE 730 1989: Plan de aseguramiento de la calidad del software
IEEE 730 1989: Plan de aseguramiento de la calidad del softwareIEEE 730 1989: Plan de aseguramiento de la calidad del software
IEEE 730 1989: Plan de aseguramiento de la calidad del softwareJesús Navarro
 
Buenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TIBuenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TICarlos Francavilla
 
Auditoría para servidores
Auditoría para servidoresAuditoría para servidores
Auditoría para servidoresGiansix Loyola
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativoJuan Carlos Gonzalez
 
Análisis de requerimientos
Análisis de requerimientosAnálisis de requerimientos
Análisis de requerimientosGustavo Araque
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informáticaNatii Rossales Hidrobo
 
Ejemplos práctios de calidad en el software tecdencies
Ejemplos práctios de calidad en el software tecdenciesEjemplos práctios de calidad en el software tecdencies
Ejemplos práctios de calidad en el software tecdenciesMICProductivity
 
Aseguramiento de la Calidad del Software II
Aseguramiento de la Calidad del Software IIAseguramiento de la Calidad del Software II
Aseguramiento de la Calidad del Software IITensor
 
Introducción CMMI
Introducción CMMIIntroducción CMMI
Introducción CMMICarlos Alberto Valencia Garcia
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasBarbara brice?
 
Estándares y modelos de calidad del software
Estándares y modelos de calidad del softwareEstándares y modelos de calidad del software
Estándares y modelos de calidad del softwarerodigueezleidy
 
Arquitecturas de software - Parte 1
Arquitecturas de software - Parte 1Arquitecturas de software - Parte 1
Arquitecturas de software - Parte 1Marta Silvia Tabares
 
Team Software Process (TSP)
Team Software Process (TSP)Team Software Process (TSP)
Team Software Process (TSP)Diana
 
Ejercicios de test - seguridad y auditoria
Ejercicios de test - seguridad y auditoriaEjercicios de test - seguridad y auditoria
Ejercicios de test - seguridad y auditoriaoposicionestic
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018Fabián Descalzo
 
01 ch1
01 ch101 ch1
01 ch1sahil mehta
 
Autotest de Negociación
Autotest de NegociaciónAutotest de Negociación
Autotest de NegociaciónProf. Dr. José Aníbal Bur
 
3. STAY IN Newsletter
3. STAY IN Newsletter3. STAY IN Newsletter
3. STAY IN NewsletterMichaela Meier
 
Global Hotel Alliance: Campaign Automation on a Global Scale
Global Hotel Alliance: Campaign Automation on a Global ScaleGlobal Hotel Alliance: Campaign Automation on a Global Scale
Global Hotel Alliance: Campaign Automation on a Global ScaleBlueHornet
 
M3 Sistema de rastreo vehicular
M3 Sistema de rastreo vehicularM3 Sistema de rastreo vehicular
M3 Sistema de rastreo vehicularJuan Carlos Abaunza Ardila
 

Weitere ähnliche Inhalte

Was ist angesagt?

Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadSistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadChema Alonso
 
IEEE 730 1989: Plan de aseguramiento de la calidad del software
IEEE 730 1989: Plan de aseguramiento de la calidad del softwareIEEE 730 1989: Plan de aseguramiento de la calidad del software
IEEE 730 1989: Plan de aseguramiento de la calidad del softwareJesús Navarro
 
Buenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TIBuenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TICarlos Francavilla
 
Auditoría para servidores
Auditoría para servidoresAuditoría para servidores
Auditoría para servidoresGiansix Loyola
 
Análisis de requerimientos
Análisis de requerimientosAnálisis de requerimientos
Análisis de requerimientosGustavo Araque
 
Ejemplos práctios de calidad en el software tecdencies
Ejemplos práctios de calidad en el software tecdenciesEjemplos práctios de calidad en el software tecdencies
Ejemplos práctios de calidad en el software tecdenciesMICProductivity
 
Aseguramiento de la Calidad del Software II
Aseguramiento de la Calidad del Software IIAseguramiento de la Calidad del Software II
Aseguramiento de la Calidad del Software IITensor
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasBarbara brice?
 
Estándares y modelos de calidad del software
Estándares y modelos de calidad del softwareEstándares y modelos de calidad del software
Estándares y modelos de calidad del softwarerodigueezleidy
 
Arquitecturas de software - Parte 1
Arquitecturas de software - Parte 1Arquitecturas de software - Parte 1
Arquitecturas de software - Parte 1Marta Silvia Tabares
 
Team Software Process (TSP)
Team Software Process (TSP)Team Software Process (TSP)
Team Software Process (TSP)Diana
 
Ejercicios de test - seguridad y auditoria
Ejercicios de test - seguridad y auditoriaEjercicios de test - seguridad y auditoria
Ejercicios de test - seguridad y auditoriaoposicionestic
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018Fabián Descalzo
 

Was ist angesagt? (19)

Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadSistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De Seguridad
 
IEEE 730 1989: Plan de aseguramiento de la calidad del software
IEEE 730 1989: Plan de aseguramiento de la calidad del softwareIEEE 730 1989: Plan de aseguramiento de la calidad del software
IEEE 730 1989: Plan de aseguramiento de la calidad del software
 
Buenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TIBuenas Prácticas y Normas de TI
Buenas Prácticas y Normas de TI
 
Auditoría para servidores
Auditoría para servidoresAuditoría para servidores
Auditoría para servidores
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Análisis de requerimientos
Análisis de requerimientosAnálisis de requerimientos
Análisis de requerimientos
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
 
Ejemplos práctios de calidad en el software tecdencies
Ejemplos práctios de calidad en el software tecdenciesEjemplos práctios de calidad en el software tecdencies
Ejemplos práctios de calidad en el software tecdencies
 
Aseguramiento de la Calidad del Software II
Aseguramiento de la Calidad del Software IIAseguramiento de la Calidad del Software II
Aseguramiento de la Calidad del Software II
 
Introducción CMMI
Introducción CMMIIntroducción CMMI
Introducción CMMI
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticos
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en Sistemas
 
Estándares y modelos de calidad del software
Estándares y modelos de calidad del softwareEstándares y modelos de calidad del software
Estándares y modelos de calidad del software
 
Arquitecturas de software - Parte 1
Arquitecturas de software - Parte 1Arquitecturas de software - Parte 1
Arquitecturas de software - Parte 1
 
Team Software Process (TSP)
Team Software Process (TSP)Team Software Process (TSP)
Team Software Process (TSP)
 
Ejercicios de test - seguridad y auditoria
Ejercicios de test - seguridad y auditoriaEjercicios de test - seguridad y auditoria
Ejercicios de test - seguridad y auditoria
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
 
01 ch1
01 ch101 ch1
01 ch1
 
Autotest de Negociación
Autotest de NegociaciónAutotest de Negociación
Autotest de Negociación
 

Andere mochten auch

Global Hotel Alliance: Campaign Automation on a Global Scale
Global Hotel Alliance: Campaign Automation on a Global ScaleGlobal Hotel Alliance: Campaign Automation on a Global Scale
Global Hotel Alliance: Campaign Automation on a Global ScaleBlueHornet
 
Introduction to Elasticsearch
Introduction to ElasticsearchIntroduction to Elasticsearch
Introduction to ElasticsearchLuiz Messias
 
El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.
El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.
El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.FoxFibre Colorganic
 
Newsletter N°14 Mes de Junio
Newsletter N°14 Mes de JunioNewsletter N°14 Mes de Junio
Newsletter N°14 Mes de JunioWest Lubricantes
 
LatinMarket
LatinMarketLatinMarket
LatinMarketLuis Cam
 
Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...
Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...
Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...Alberto López Martín
 
Alfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and Orbeon
Alfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and OrbeonAlfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and Orbeon
Alfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and OrbeonOksana Kurysheva
 
Company profile twa
Company profile twaCompany profile twa
Company profile twaRatman Bejo
 
01 orthokeratology children chan
01 orthokeratology children chan01 orthokeratology children chan
01 orthokeratology children chanortokextremadura
 
Cyber Security, Why It's important To You
Cyber Security, Why It's important To YouCyber Security, Why It's important To You
Cyber Security, Why It's important To YouRonald E. Laub Jr
 
HoneySpider Network: a Java based system to hunt down malicious websites
HoneySpider Network: a Java based system to hunt down malicious websitesHoneySpider Network: a Java based system to hunt down malicious websites
HoneySpider Network: a Java based system to hunt down malicious websitesNLJUG
 
Contrato de arrendamiento
Contrato de arrendamientoContrato de arrendamiento
Contrato de arrendamientoRosmeri Romero
 
Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...
Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...
Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...Turismo de Ávila
 

Andere mochten auch (20)

3. STAY IN Newsletter
3. STAY IN Newsletter3. STAY IN Newsletter
3. STAY IN Newsletter
 
Global Hotel Alliance: Campaign Automation on a Global Scale
Global Hotel Alliance: Campaign Automation on a Global ScaleGlobal Hotel Alliance: Campaign Automation on a Global Scale
Global Hotel Alliance: Campaign Automation on a Global Scale
 
M3 Sistema de rastreo vehicular
M3 Sistema de rastreo vehicularM3 Sistema de rastreo vehicular
M3 Sistema de rastreo vehicular
 
Introduction to Elasticsearch
Introduction to ElasticsearchIntroduction to Elasticsearch
Introduction to Elasticsearch
 
El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.
El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.
El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.
 
Revista educaccion
Revista educaccionRevista educaccion
Revista educaccion
 
Newsletter N°14 Mes de Junio
Newsletter N°14 Mes de JunioNewsletter N°14 Mes de Junio
Newsletter N°14 Mes de Junio
 
LatinMarket
LatinMarketLatinMarket
LatinMarket
 
Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...
Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...
Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...
 
Group office
Group officeGroup office
Group office
 
Alfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and Orbeon
Alfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and OrbeonAlfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and Orbeon
Alfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and Orbeon
 
Version cd web definitiva
Version cd web definitivaVersion cd web definitiva
Version cd web definitiva
 
Company profile twa
Company profile twaCompany profile twa
Company profile twa
 
01 orthokeratology children chan
01 orthokeratology children chan01 orthokeratology children chan
01 orthokeratology children chan
 
Luxury surface
Luxury surfaceLuxury surface
Luxury surface
 
Cyber Security, Why It's important To You
Cyber Security, Why It's important To YouCyber Security, Why It's important To You
Cyber Security, Why It's important To You
 
HoneySpider Network: a Java based system to hunt down malicious websites
HoneySpider Network: a Java based system to hunt down malicious websitesHoneySpider Network: a Java based system to hunt down malicious websites
HoneySpider Network: a Java based system to hunt down malicious websites
 
Fac pubmed
Fac pubmedFac pubmed
Fac pubmed
 
Contrato de arrendamiento
Contrato de arrendamientoContrato de arrendamiento
Contrato de arrendamiento
 
Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...
Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...
Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...
 

Ähnlich wie Desarrollo de software seguro: una visión con OpenSAMM

Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCInternet Security Auditors
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling ToolPeter Concha
 
Modelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareModelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareSoftware Guru
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
Seguridad vs Desarrolladores
Seguridad vs DesarrolladoresSeguridad vs Desarrolladores
Seguridad vs DesarrolladoresJaime Restrepo
 
SeguridadAuditoria.pptx
SeguridadAuditoria.pptxSeguridadAuditoria.pptx
SeguridadAuditoria.pptxssuser3937f41
 
Fundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptxFundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptxmateoaramedi
 
GESTION DE PROYECTOS INFORMATICOS
GESTION DE PROYECTOS INFORMATICOSGESTION DE PROYECTOS INFORMATICOS
GESTION DE PROYECTOS INFORMATICOSYASMIN RUIZ
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Internet Security Auditors
 
Introducción al Desarrollo de Software
Introducción al Desarrollo de SoftwareIntroducción al Desarrollo de Software
Introducción al Desarrollo de SoftwareBarbara brice?
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITViewnext
 
Proceso de dasarrollo de software
Proceso de dasarrollo de softwareProceso de dasarrollo de software
Proceso de dasarrollo de softwarerodrigolapaca94
 

Ähnlich wie Desarrollo de software seguro: una visión con OpenSAMM (20)

Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling Tool
 
Modelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareModelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de software
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de software
 
Anteproyecto Liliana cujar
Anteproyecto Liliana cujarAnteproyecto Liliana cujar
Anteproyecto Liliana cujar
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
Soc en el mundo
Soc en el mundoSoc en el mundo
Soc en el mundo
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013
 
Seguridad vs Desarrolladores
Seguridad vs DesarrolladoresSeguridad vs Desarrolladores
Seguridad vs Desarrolladores
 
SeguridadAuditoria.pptx
SeguridadAuditoria.pptxSeguridadAuditoria.pptx
SeguridadAuditoria.pptx
 
Fundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptxFundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptx
 
GESTION DE PROYECTOS INFORMATICOS
GESTION DE PROYECTOS INFORMATICOSGESTION DE PROYECTOS INFORMATICOS
GESTION DE PROYECTOS INFORMATICOS
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.
 
Introducción al Desarrollo de Software
Introducción al Desarrollo de SoftwareIntroducción al Desarrollo de Software
Introducción al Desarrollo de Software
 
Software de Seguridad
Software de SeguridadSoftware de Seguridad
Software de Seguridad
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad IT
 
Gestión de proyecto de software
Gestión de proyecto de softwareGestión de proyecto de software
Gestión de proyecto de software
 
Proceso de dasarrollo de software
Proceso de dasarrollo de softwareProceso de dasarrollo de software
Proceso de dasarrollo de software
 

Mehr von Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Mehr von Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

Desarrollo de software seguro: una visión con OpenSAMM

  • 1. C. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 C. Arequipa, 1 I E-28043 Madrid (Spain) I Tel: +34 91 763 40 47 I Fax: +34 91 382 03 96 info@isecauditors.com I www.isecauditors.com Desarrollo de software seguro: una visión con OpenSAMM Vicente Aguilera Díaz Internet Security Auditors 09/05/2012 – Zaragoza
  • 2. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 2 Desarrollo de software seguro: una visión con OpenSAMM ¿Quién soy? • CISA, CISSP, CSSLP, ITIL, CEH|I, ECSP|I, PCI ASV, OPSA,OPST • Socio y Director del Dpto. de Auditoría en Internet Security Auditors • OWASP Spain Chapter Leader • Miembro del Consejo Técnico Asesor de la revista RedSeguridad • Miembro del Jurado de los Trofeos de la Seguridad TIC • Colaborador en distintos proyectos (OWASP Testing Guide, WASC Threat Classification, OISSG ISSAF, WASC Articles, etc.) • Ponente en congresos del sector (ExpoQA, IGC, RedIRIS, OWASP, FIST, HackMeeting, ISACA, Respuestas SIC, AdwysCon, Infosecura, etc.) • Publicación de vulnerabilidades (Oracle, Facebook, Gmail, etc.) y artículos en medios especializados (SIC, RedSeguridad, WASC, etc.)
  • 3. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 3 Desarrollo de software seguro: una visión con OpenSAMM Agenda 1. Necesitamos construir software seguro 2. El SDLC seguro es la clave 3. OpenSAMM como estrategia de seguridad 4. Aplicando el modelo OpenSAMM 5. Conclusiones
  • 4. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 4 Desarrollo de software seguro: una visión con OpenSAMM 1│Necesitamos construir software seguro
  • 5. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 5 Desarrollo de software seguro: una visión con OpenSAMM “In the 80’s we wired the world with cables and in the 90’s we wired the world with computer networks. Today we are wiring the world with applications (software). Having a skilled professional capable of designing, developing and deploying secure software is now critical to this evolving world.” Mark Curphey Director & Product Unit Manager, Microsoft Corporation Founder of Open Web Application Security Project (OWASP)
  • 6. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 6 Desarrollo de software seguro: una visión con OpenSAMM ¿Porqué resulta ahora crítico? • Las aplicaciones web resultan muy atractivas • La trinidad de los problemas: • Conectividad • Complejidad • Extensibilidad … y existen estándares de obligado cumplimiento! (PCI DSS, SOX, GLB Act, HIPAA, FISMA, …) Nuestra vida cotidiana depende del software
  • 7. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 7 Desarrollo de software seguro: una visión con OpenSAMM Todo es posible en la web…
  • 8. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 8 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
  • 9. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 9 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
  • 10. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 10 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
  • 11. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 11 Desarrollo de software seguro: una visión con OpenSAMM ¿Qué es software seguro? • Diseñado, construido y probado para ser seguro • Continúa ejecutándose correctamente bajo un ataque • Diseñado con el fallo en mente Romper algo es más fácil que diseñar algo para que no pueda ser roto
  • 12. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 12 Desarrollo de software seguro: una visión con OpenSAMM ¿Qué es software seguro? Improving Web Application Security: Threats and countermeasures
  • 13. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 13 Desarrollo de software seguro: una visión con OpenSAMM 2│El SDLC seguro es la clave
  • 14. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 14 Desarrollo de software seguro: una visión con OpenSAMM El SDLC seguro es la clave • SDLC basado en principios de seguridad • No existe una fórmula única para todas las organizaciones • Requiere involucrar los siguientes factores: • Personas • Procesos • Tecnología SDLC genérico
  • 15. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 15 Desarrollo de software seguro: una visión con OpenSAMM Buenas prácticas • Microsoft SDL (Secure Development Lifecycle) • OWASP CLASP (Comprehensive, Lightweight Application Security Process) • Cigital Software Security Touchpoints • OWASP OpenSAMM (Software Assurance Maturity Model) • BSIMM (Building Security In Maturity Model) • SSE CMM (Secure Software Engineering Capability Maturity Model)
  • 16. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 16 Desarrollo de software seguro: una visión con OpenSAMM 3│OpenSAMM como estrategia de seguridad
  • 17. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 17 Desarrollo de software seguro: una visión con OpenSAMM OWASP OpenSAMM • Marco abierto para ayudar a las organizaciones a diseñar e implementar una estrategia para la creación de software seguro • Los recursos facilitados por OpenSAMM ayudan a: • Evaluar las prácticas de seguridad existentes • Demostrar mejoras concretas • Definir y medir actividades relacionadas con la seguridad • Construir un programa de aseguramiento de la seguridad en software
  • 18. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 18 Desarrollo de software seguro: una visión con OpenSAMM OWASP OpenSAMM
  • 19. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 19 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Estrategia y métricas
  • 20. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 20 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Política y cumplimiento
  • 21. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 21 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Educación y orientación
  • 22. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 22 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Evaluación de amenazas
  • 23. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 23 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Requisitos de seguridad
  • 24. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 24 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Arquitectura de seguridad
  • 25. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 25 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Revisión de diseño
  • 26. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 26 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Revisión de código
  • 27. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 27 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Pruebas de seguridad
  • 28. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 28 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Gestión de vuln.
  • 29. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 29 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Securización del entorno
  • 30. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 30 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Habilitación operativa
  • 31. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 31 Desarrollo de software seguro: una visión con OpenSAMM 4│Aplicando el modelo OpenSAMM
  • 32. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 32 Desarrollo de software seguro: una visión con OpenSAMM Aplicando OpenSAMM • Realizar una revisión inicial • Medir las prácticas de la organización frente las prácticas de seguridad definidas por el modelo • Definir el nivel de madurez actual • Dos estilos de revisiones • Ligero • Detallado
  • 33. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 33 Desarrollo de software seguro: una visión con OpenSAMM Aplicando OpenSAMM • Construir programas de aseguramiento de la seguridad • Crear una hoja de ruta o usar una plantilla • Realizar las actividades prescritas para alcanzar el nivel de madurez esperado
  • 34. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 34 Desarrollo de software seguro: una visión con OpenSAMM Hojas de trabajo para las revisiones
  • 35. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 35 Desarrollo de software seguro: una visión con OpenSAMM Creando tarjetas de calificaciones • Permite demostrar la evolución • Basado en las puntuaciones asignadas a cada práctica de seguridad • Puede resultar tan simple como un conjunto de 12 puntuaciones para un momento concreto
  • 36. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 36 Desarrollo de software seguro: una visión con OpenSAMM Hoja de ruta • Define la estrategia de implementación • Es una estrategia a largo plazo • Depende de las prioridades de cada organización
  • 37. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 37 Desarrollo de software seguro: una visión con OpenSAMM ¿Cuáles son los beneficios? • Permite implementar las mejores prácticas utilizadas hoy y aprovechar la experiencia en su implementación • Proporciona una manera de revisar el estado de una organización y priorizar los cambios • Proporciona una manera de construir un programa de seguridad en el desarrollo mediante iteraciones claramente definidas • Permite definir y medir actividades relacionadas con la seguridad • Permite demostrar mejoras concretas en la seguridad
  • 38. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 38 Desarrollo de software seguro: una visión con OpenSAMM 5│Conclusiones
  • 39. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 39 Desarrollo de software seguro: una visión con OpenSAMM Conclusiones • La mayoría de los ataques se producen en la capa de aplicación • Necesitamos invertir más en la protección de nuestras aplicaciones • Necesitamos crear software seguro • Necesitamos adoptar una estrategia de seguridad para la creación de software • El software seguro es el resultado de múltiples actividades • Requiere involucrar personas, procesos y tecnología
  • 40. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 40 Desarrollo de software seguro: una visión con OpenSAMM Conclusiones • Mejorar la seguridad del software implica un cambio cultural en la organización • Debemos cambiar la forma en la que trabaja nuestra organización
  • 41. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 41 Desarrollo de software seguro: una visión con OpenSAMM 6│Referencias
  • 42. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 42 Desarrollo de software seguro: una visión con OpenSAMM Referencias • Improving Web Application Security: • OWASP OpenSAMM: • The Ten Best Practices for Secure Software Development: http://www.isc2.org/uploadedFiles/(ISC)2_Public_Content/Certificat ion_Programs/CSSLP/ISC2_WPIV.pdf http://msdn.microsoft.com/en-us/library/ff649874.aspx http://www.opensamm.org • PCI Data Security Standard https://www.pcisecuritystandards.org
  • 43. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 43 Desarrollo de software seguro: una visión con OpenSAMM ? preguntas / comentarios / sugerencias Muchas gracias por su atención!
  • 44. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 44 Desarrollo de software seguro: una visión con OpenSAMM Su Seguridad es Nuestro Éxito Vicente Aguilera Díaz Director Departamento Auditoría Internet Security Auditors vaguilera@isecauditors.com C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 www.isecauditors.com