SlideShare ist ein Scribd-Unternehmen logo

Calidad y Seguridad en Procesos de Desarrollo de Software

Conferencias FIST
Conferencias FIST

El documento describe la importancia de aplicar un enfoque sistémico y preventivo a la seguridad en los procesos de desarrollo de software. Actualmente, la seguridad se enfoca principalmente en pruebas de seguridad del producto final y soluciones reactivas. Sin embargo, la mayoría de vulnerabilidades se originan en etapas tempranas del desarrollo. El documento propone aplicar medidas de calidad y seguridad a lo largo de todo el ciclo de vida del desarrollo, incluyendo análisis, diseño y construcción,

Technologie
1 von 18
Downloaden Sie, um offline zu lesen
Grupo Open Source para la  Integración de Tecnología IN2- Ingeniería de la Información www.IN2.es Calidad y Seguridad en Procesos de  Desarrollo de Software Roger Carhuatocto roger.carhuatocto [ AT ] in2.es V1.0 - 18.Marzo.2005 GOS4i + IN2- Ingeniería de la Información – 2005
Objetivos • Reflexión sobre problema de la seguridad en las organizaciones y cómo se están  resolviendo.  • Énfasis en el Proceso de Desarrollo de Sofware (Preventivo) • Énfasis en las metodologías de aseguramiento de la calidad y seguridad en procesos  de desarrollo de software como actividad preventiva. [2] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Situación actual ­ Análisis • Inseguridad • Seguridad reactiva – Antivirus – IDS – Firewall – Honeypots, etc.. • El Testing de Seguridad es usado para identificar vulnerabilidades sobre Producto  Final. • Se soluciona los “bugs”, no el origen de ellos • ¿Dónde está el origen? [3] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Definimos la Problemática  • El Sistema de Gestión de Seguridad – Personas – Software, Hardware y otro tipo de infraestructura – Procesos de Negocio – Información • ¿Cuál es el elemento más débil? • ¿A dónde se enfocan las actuales soluciones? • Aplicar Paretto 80%­20% [4] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Replanteando el problema – Enfoque Sistémico • Busquemos el Origen del Problema de la Seguridad • Usar un nuevo enfoque. • Enfoque Sistémico del Problema de la Seguridad (Enfoque Holístico) – Considerar todos los elementos: Personas, SW, HW, Información, Red, etc. – Nos centramos en el elemento que nos interesa, el Software. Es el elemento más débil? – Análisis del Proceso de Desarrollo SW en lugar del Producto resultante – Definir acciones(seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW [5] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Enfoque Sistémico al Problema de Seguridad ­  Conclusión • Sólo estamos tomando acciones preventivas sobre el producto final (testing de  seguridad) • Estamos descuidando la seguridad en otras etapas del Desarrollo de SW • Existen elementos externos al proceso de Desarrollo de SW que se deben  considerar, ellos proporcionan ayuda en la prevención: – Sistemas de Gestión de la Calidad – Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente,  Facturación, Contabilidad, etc. – Recomendaciones y Metodologías – Herramientas y Técnicas • Bugtracking • CVS • Wiki • Nmap, Nessus, etc…. • Testing tools, etc… [6] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Campos de Acción de QA y Security Desarrollo de Software y Seguridad Aplicaciones Preventiva Sistem as de Gestión Seguridad Lógica Procesos Negocio Networking, Seguridad Sistem as e Infraestructura Reactiva [7] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Revisión del Ciclo de vida del Software Análisis Diseño Construcción Transición •Se define el “Cómo?” •Construcción, integración y testing •A producción •Se define el “Qué?” •Objetivos: •Interativo •La seguridad aparece •Qué aporta Seg. a Negocio? •Prototipeo •Plan Operativo •Diseño de Sistema •Monitorización •Herramientas:  •Diseño de Objetos •Respuesta a incidentes •Requerimientos •Analisis Func y No­Func. •Diseño de Componentes •Casos de Uso •Herramientas:  •CRC Cards:  •Class, Responsibility, Collaboration •Diagrama de Secuencias y Clases •Definición Servicios Comunes: •Logging, Security, Exception, Etc. •Modelamiento de Amenazas por Casos de Uso •Patrones de Diseño Funcional •Patrones de Diseño de Seguridad (por Amenazas) •Input Validator Pattern •Aspect Oriented Programming •Exception Manager Pattern •Secure Logger Pattern [8] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Ciclo de vida de los IDS (es reactivo!) Vulnerability Attack Integrate Pentest Exploit detection pattern in IDS The learning process = Four days (aprox.) [9] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Evolución de la Gestión de la Calidad  Inspección • Separación, después de la producción, de los productos  defectuosos de los no defectuosos. P • Buscar la ausencia de defectos. • Auditoria final, reuniones para solucionar defectos. Control de Proceso • Anticipación dentro de los procesos de desarrollo. P • No se espera al final de la cadena de producción. • Se introduce el concepto de proceso. Gestión Integral de la Calidad • la Calidad debe abarcar a todas las áreas de las empresa que  intervienen en la realización del producto. P Calidad Total • Forma de gestión de una organización centrada en la calidad  basada en la participación de todos sus miembros y que  apunta al éxito a largo plazo por medio de la satisfacción del  cliente y a proporcionar beneficios para todos los miembros de  P la organización y para la sociedad. [10] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Técnicas más usadas para explotar vulnerabilidades [11] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Origen de las Vulnerabilidades por Aplicación [12] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Predicciones en Software Security [13] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Origen de Defectos en SW – No es código!! [14] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
ROI en Security Software [15] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Metodologías y Estándares • De Seguridad – http://www.fistconference.org/data/presentaciones/estandaresymetodologiasdeseguridad.pdf  – Conferencias FIST, Nov. 2003 – Vicente Aceituno • Generales – Anexo­Estandares­QA­SEC_RCARHUATOCTO­v1.pdf [16] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Conclusiones Finales • Enfoque Sistémico (Holísitico) • Aplicable a todo el proceso de desarrollo de SW,  incluye a la etapa de toma de requerimientos • Usar Metodologías y Estándares de propósito  general y de seguridad [17] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Referencias Alan Cox on writ ing bett er sof t ware By Basheera Khan - Thursday, 07 Oct ober 2004 ht t p:/ / www.pingwales.co.uk/ sof t ware/ cox - on- bet t er- sof t ware.ht m l Dire St raits The evolution of sof t ware opens new vist as for business... and t he bad guys. April 2004, By GARY MCGRAW & GREG HOGLUND ht t p:/ / infosecurit ym ag.techt arget .com/ ss/ 0,295796,sid6_iss366_art 684,00.htm l Int roduct ion t o Sof t ware Securit y Dat e: Nov 2, 2001 By Gary McGraw, John Viega. ht t p:/ / www.awprof essional.com / articles/ print erf riendly.asp?p= 23950 Cent ro de Desarrollo Microsof t Seguridad ht t p:/ / www.m icrosoft .com / spanish/ m sdn/ centro_recursos/ securit y/ def ault .asp [18] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

Empfohlen

OWASP
OWASPOWASP
OWASPConferencias FIST
 
LINEAS DE PRODUCTOS DE SOFTWARE Y MÉTODO WATCH
LINEAS DE PRODUCTOS DE SOFTWARE Y MÉTODO WATCHLINEAS DE PRODUCTOS DE SOFTWARE Y MÉTODO WATCH
LINEAS DE PRODUCTOS DE SOFTWARE Y MÉTODO WATCHPerozoAlejandro
 
Desarrollo de software basado en lineas de productos
Desarrollo de software basado en lineas de productosDesarrollo de software basado en lineas de productos
Desarrollo de software basado en lineas de productosJOSEPHPC3000
 
Tsp (Team Software Process )
Tsp (Team Software Process )Tsp (Team Software Process )
Tsp (Team Software Process )silviachmn
 
Metricas del producto para el Software
Metricas del producto para el SoftwareMetricas del producto para el Software
Metricas del producto para el SoftwareWalter Tejerina
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...EyesOpen Association
 
Modelo SPICE
Modelo SPICEModelo SPICE
Modelo SPICESantiago Bejarano
 
Security models for security architecture
Security models for security architectureSecurity models for security architecture
Security models for security architectureVladimir Jirasek
 

Empfohlen

OWASP
OWASPOWASP
OWASPConferencias FIST
 
LINEAS DE PRODUCTOS DE SOFTWARE Y MÉTODO WATCH
LINEAS DE PRODUCTOS DE SOFTWARE Y MÉTODO WATCHLINEAS DE PRODUCTOS DE SOFTWARE Y MÉTODO WATCH
LINEAS DE PRODUCTOS DE SOFTWARE Y MÉTODO WATCHPerozoAlejandro
 
Desarrollo de software basado en lineas de productos
Desarrollo de software basado en lineas de productosDesarrollo de software basado en lineas de productos
Desarrollo de software basado en lineas de productosJOSEPHPC3000
 
Tsp (Team Software Process )
Tsp (Team Software Process )Tsp (Team Software Process )
Tsp (Team Software Process )silviachmn
 
Metricas del producto para el Software
Metricas del producto para el SoftwareMetricas del producto para el Software
Metricas del producto para el SoftwareWalter Tejerina
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...EyesOpen Association
 
Modelo SPICE
Modelo SPICEModelo SPICE
Modelo SPICESantiago Bejarano
 
Security models for security architecture
Security models for security architectureSecurity models for security architecture
Security models for security architectureVladimir Jirasek
 
Sqap ejemplos
Sqap ejemplosSqap ejemplos
Sqap ejemplosJose Limon
 
Estrategias de aplicaciones para las pruebas de integración
Estrategias de aplicaciones para las pruebas de integraciónEstrategias de aplicaciones para las pruebas de integración
Estrategias de aplicaciones para las pruebas de integraciónPablo Navarrete
 
SGSI
SGSISGSI
SGSIAlessa Paredes
 
Cuadro comparativo entre moprosoft y cmmi
Cuadro comparativo entre moprosoft y cmmiCuadro comparativo entre moprosoft y cmmi
Cuadro comparativo entre moprosoft y cmmiJimmy Davila
 
Especificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareEspecificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareJesús E. CuRias
 
Calidad Del Software
Calidad Del SoftwareCalidad Del Software
Calidad Del SoftwareEliecer Suarez
 
Secure Software Development Lifecycle
Secure Software Development LifecycleSecure Software Development Lifecycle
Secure Software Development Lifecycle1&1
 
Gestion de la configuracion del software
Gestion de la configuracion del softwareGestion de la configuracion del software
Gestion de la configuracion del softwareGiovani Ramirez
 
Software Quality Assurance: A mind game between you and devil
Software Quality Assurance: A mind game between you and devilSoftware Quality Assurance: A mind game between you and devil
Software Quality Assurance: A mind game between you and devilNahian Al Hossain Basunia
 
Software quality assurance
Software quality assuranceSoftware quality assurance
Software quality assuranceEr. Nancy
 
Software quality assurance
Software quality assuranceSoftware quality assurance
Software quality assuranceRizky Munggaran
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de softwareHermes Romero
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Enterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityEnterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityThe Open Group SA
 
CMMI
CMMICMMI
CMMIElaine Cecília Gatto
 
Common Criteria service overview for Developers - jtsec a CC consultancy company
Common Criteria service overview for Developers - jtsec a CC consultancy companyCommon Criteria service overview for Developers - jtsec a CC consultancy company
Common Criteria service overview for Developers - jtsec a CC consultancy companyJavier Tallón
 
METRICA V3
METRICA V3METRICA V3
METRICA V3Liz321
 
Atributos de calidad en el desarrollo de software
Atributos de calidad en el desarrollo de software Atributos de calidad en el desarrollo de software
Atributos de calidad en el desarrollo de software Joan Manuel Zabala
 
Software Architecture: Principles, Patterns and Practices
Software Architecture: Principles, Patterns and PracticesSoftware Architecture: Principles, Patterns and Practices
Software Architecture: Principles, Patterns and PracticesGanesh Samarthyam
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLCRoger CARHUATOCTO
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 

Weitere ähnliche Inhalte

Was ist angesagt?

Estrategias de aplicaciones para las pruebas de integración
Estrategias de aplicaciones para las pruebas de integraciónEstrategias de aplicaciones para las pruebas de integración
Estrategias de aplicaciones para las pruebas de integraciónPablo Navarrete
 
Cuadro comparativo entre moprosoft y cmmi
Cuadro comparativo entre moprosoft y cmmiCuadro comparativo entre moprosoft y cmmi
Cuadro comparativo entre moprosoft y cmmiJimmy Davila
 
Especificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareEspecificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareJesús E. CuRias
 
Secure Software Development Lifecycle
Secure Software Development LifecycleSecure Software Development Lifecycle
Secure Software Development Lifecycle1&1
 
Gestion de la configuracion del software
Gestion de la configuracion del softwareGestion de la configuracion del software
Gestion de la configuracion del softwareGiovani Ramirez
 
Software Quality Assurance: A mind game between you and devil
Software Quality Assurance: A mind game between you and devilSoftware Quality Assurance: A mind game between you and devil
Software Quality Assurance: A mind game between you and devilNahian Al Hossain Basunia
 
Software quality assurance
Software quality assuranceSoftware quality assurance
Software quality assuranceEr. Nancy
 
Software quality assurance
Software quality assuranceSoftware quality assurance
Software quality assuranceRizky Munggaran
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Enterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityEnterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityThe Open Group SA
 
Common Criteria service overview for Developers - jtsec a CC consultancy company
Common Criteria service overview for Developers - jtsec a CC consultancy companyCommon Criteria service overview for Developers - jtsec a CC consultancy company
Common Criteria service overview for Developers - jtsec a CC consultancy companyJavier Tallón
 
METRICA V3
METRICA V3METRICA V3
METRICA V3Liz321
 
Atributos de calidad en el desarrollo de software
Atributos de calidad en el desarrollo de software Atributos de calidad en el desarrollo de software
Atributos de calidad en el desarrollo de software Joan Manuel Zabala
 
Software Architecture: Principles, Patterns and Practices
Software Architecture: Principles, Patterns and PracticesSoftware Architecture: Principles, Patterns and Practices
Software Architecture: Principles, Patterns and PracticesGanesh Samarthyam
 

Was ist angesagt? (20)

Sqap ejemplos
Sqap ejemplosSqap ejemplos
Sqap ejemplos
 
Estrategias de aplicaciones para las pruebas de integración
Estrategias de aplicaciones para las pruebas de integraciónEstrategias de aplicaciones para las pruebas de integración
Estrategias de aplicaciones para las pruebas de integración
 
SGSI
SGSISGSI
SGSI
 
Cuadro comparativo entre moprosoft y cmmi
Cuadro comparativo entre moprosoft y cmmiCuadro comparativo entre moprosoft y cmmi
Cuadro comparativo entre moprosoft y cmmi
 
Especificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareEspecificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de software
 
Calidad Del Software
Calidad Del SoftwareCalidad Del Software
Calidad Del Software
 
Secure Software Development Lifecycle
Secure Software Development LifecycleSecure Software Development Lifecycle
Secure Software Development Lifecycle
 
Gestion de la configuracion del software
Gestion de la configuracion del softwareGestion de la configuracion del software
Gestion de la configuracion del software
 
Software Quality Assurance: A mind game between you and devil
Software Quality Assurance: A mind game between you and devilSoftware Quality Assurance: A mind game between you and devil
Software Quality Assurance: A mind game between you and devil
 
Software quality assurance
Software quality assuranceSoftware quality assurance
Software quality assurance
 
Software quality assurance
Software quality assuranceSoftware quality assurance
Software quality assurance
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de software
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Enterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber SecurityEnterprise Security Architecture for Cyber Security
Enterprise Security Architecture for Cyber Security
 
CMMI
CMMICMMI
CMMI
 
Common Criteria service overview for Developers - jtsec a CC consultancy company
Common Criteria service overview for Developers - jtsec a CC consultancy companyCommon Criteria service overview for Developers - jtsec a CC consultancy company
Common Criteria service overview for Developers - jtsec a CC consultancy company
 
METRICA V3
METRICA V3METRICA V3
METRICA V3
 
Atributos de calidad en el desarrollo de software
Atributos de calidad en el desarrollo de software Atributos de calidad en el desarrollo de software
Atributos de calidad en el desarrollo de software
 
Software Architecture: Principles, Patterns and Practices
Software Architecture: Principles, Patterns and PracticesSoftware Architecture: Principles, Patterns and Practices
Software Architecture: Principles, Patterns and Practices
 

Ähnlich wie Calidad y Seguridad en Procesos de Desarrollo de Software

QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLCRoger CARHUATOCTO
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 
Security in off-shore Application Development
Security in off-shore Application DevelopmentSecurity in off-shore Application Development
Security in off-shore Application DevelopmentConferencias FIST
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Optimyth Software
 
QA and Security in Development Process
QA and Security in Development ProcessQA and Security in Development Process
QA and Security in Development ProcessRoger CARHUATOCTO
 
fundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaarefundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaareLuz
 
SEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICANallely2017
 
Desarrollando software de calidad
Desarrollando software de calidadDesarrollando software de calidad
Desarrollando software de calidadEQ SOFT EIRL
 
Unidad i introduccion_isbuap2020
Unidad i introduccion_isbuap2020Unidad i introduccion_isbuap2020
Unidad i introduccion_isbuap2020EtelvinaArchundia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling ToolPeter Concha
 

Ähnlich wie Calidad y Seguridad en Procesos de Desarrollo de Software (20)

QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLC
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Security in off-shore Application Development
Security in off-shore Application DevelopmentSecurity in off-shore Application Development
Security in off-shore Application Development
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
 
QA and Security in Development Process
QA and Security in Development ProcessQA and Security in Development Process
QA and Security in Development Process
 
Expo
ExpoExpo
Expo
 
fundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaarefundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaare
 
SEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICA
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguro
 
Desarrollando software de calidad
Desarrollando software de calidadDesarrollando software de calidad
Desarrollando software de calidad
 
S1-CDSQA.pptx
S1-CDSQA.pptxS1-CDSQA.pptx
S1-CDSQA.pptx
 
Metodología Ágil
Metodología ÁgilMetodología Ágil
Metodología Ágil
 
Unidad i introduccion_isbuap2020
Unidad i introduccion_isbuap2020Unidad i introduccion_isbuap2020
Unidad i introduccion_isbuap2020
 
Seguridad
SeguridadSeguridad
Seguridad
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
Auditoría Informática
Auditoría InformáticaAuditoría Informática
Auditoría Informática
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling Tool
 

Mehr von Conferencias FIST

Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceConferencias FIST
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseConferencias FIST
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiConferencias FIST
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security ForumConferencias FIST
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes WirelessConferencias FIST
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la ConcienciaciónConferencias FIST
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloConferencias FIST
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseConferencias FIST
 

Mehr von Conferencias FIST (20)

Seguridad en Open Solaris
Seguridad en Open SolarisSeguridad en Open Solaris
Seguridad en Open Solaris
 
Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet Project
 
Seguridad en Windows Mobile
Seguridad en Windows MobileSeguridad en Windows Mobile
Seguridad en Windows Mobile
 
SAP Security
SAP SecuritySAP Security
SAP Security
 
Que es Seguridad
Que es SeguridadQue es Seguridad
Que es Seguridad
 
Network Access Protection
Network Access ProtectionNetwork Access Protection
Network Access Protection
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
 
Criptografia Cuántica
Criptografia CuánticaCriptografia Cuántica
Criptografia Cuántica
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
 
Security Metrics
Security MetricsSecurity Metrics
Security Metrics
 
PKI Interoperability
PKI InteroperabilityPKI Interoperability
PKI Interoperability
 
Wifislax 3.1
Wifislax 3.1Wifislax 3.1
Wifislax 3.1
 
Network Forensics
Network ForensicsNetwork Forensics
Network Forensics
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis Forense
 
Security Maturity Model
Security Maturity ModelSecurity Maturity Model
Security Maturity Model
 

Kürzlich hochgeladen

CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 

Kürzlich hochgeladen (15)

CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 

Calidad y Seguridad en Procesos de Desarrollo de Software

  • 1. Grupo Open Source para la  Integración de Tecnología IN2- Ingeniería de la Información www.IN2.es Calidad y Seguridad en Procesos de  Desarrollo de Software Roger Carhuatocto roger.carhuatocto [ AT ] in2.es V1.0 - 18.Marzo.2005 GOS4i + IN2- Ingeniería de la Información – 2005
  • 2. Objetivos • Reflexión sobre problema de la seguridad en las organizaciones y cómo se están  resolviendo.  • Énfasis en el Proceso de Desarrollo de Sofware (Preventivo) • Énfasis en las metodologías de aseguramiento de la calidad y seguridad en procesos  de desarrollo de software como actividad preventiva. [2] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 3. Situación actual ­ Análisis • Inseguridad • Seguridad reactiva – Antivirus – IDS – Firewall – Honeypots, etc.. • El Testing de Seguridad es usado para identificar vulnerabilidades sobre Producto  Final. • Se soluciona los “bugs”, no el origen de ellos • ¿Dónde está el origen? [3] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 4. Definimos la Problemática  • El Sistema de Gestión de Seguridad – Personas – Software, Hardware y otro tipo de infraestructura – Procesos de Negocio – Información • ¿Cuál es el elemento más débil? • ¿A dónde se enfocan las actuales soluciones? • Aplicar Paretto 80%­20% [4] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 5. Replanteando el problema – Enfoque Sistémico • Busquemos el Origen del Problema de la Seguridad • Usar un nuevo enfoque. • Enfoque Sistémico del Problema de la Seguridad (Enfoque Holístico) – Considerar todos los elementos: Personas, SW, HW, Información, Red, etc. – Nos centramos en el elemento que nos interesa, el Software. Es el elemento más débil? – Análisis del Proceso de Desarrollo SW en lugar del Producto resultante – Definir acciones(seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW [5] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 6. Enfoque Sistémico al Problema de Seguridad ­  Conclusión • Sólo estamos tomando acciones preventivas sobre el producto final (testing de  seguridad) • Estamos descuidando la seguridad en otras etapas del Desarrollo de SW • Existen elementos externos al proceso de Desarrollo de SW que se deben  considerar, ellos proporcionan ayuda en la prevención: – Sistemas de Gestión de la Calidad – Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente,  Facturación, Contabilidad, etc. – Recomendaciones y Metodologías – Herramientas y Técnicas • Bugtracking • CVS • Wiki • Nmap, Nessus, etc…. • Testing tools, etc… [6] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 7. Campos de Acción de QA y Security Desarrollo de Software y Seguridad Aplicaciones Preventiva Sistem as de Gestión Seguridad Lógica Procesos Negocio Networking, Seguridad Sistem as e Infraestructura Reactiva [7] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 8. Revisión del Ciclo de vida del Software Análisis Diseño Construcción Transición •Se define el “Cómo?” •Construcción, integración y testing •A producción •Se define el “Qué?” •Objetivos: •Interativo •La seguridad aparece •Qué aporta Seg. a Negocio? •Prototipeo •Plan Operativo •Diseño de Sistema •Monitorización •Herramientas:  •Diseño de Objetos •Respuesta a incidentes •Requerimientos •Analisis Func y No­Func. •Diseño de Componentes •Casos de Uso •Herramientas:  •CRC Cards:  •Class, Responsibility, Collaboration •Diagrama de Secuencias y Clases •Definición Servicios Comunes: •Logging, Security, Exception, Etc. •Modelamiento de Amenazas por Casos de Uso •Patrones de Diseño Funcional •Patrones de Diseño de Seguridad (por Amenazas) •Input Validator Pattern •Aspect Oriented Programming •Exception Manager Pattern •Secure Logger Pattern [8] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 9. Ciclo de vida de los IDS (es reactivo!) Vulnerability Attack Integrate Pentest Exploit detection pattern in IDS The learning process = Four days (aprox.) [9] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 10. Evolución de la Gestión de la Calidad  Inspección • Separación, después de la producción, de los productos  defectuosos de los no defectuosos. P • Buscar la ausencia de defectos. • Auditoria final, reuniones para solucionar defectos. Control de Proceso • Anticipación dentro de los procesos de desarrollo. P • No se espera al final de la cadena de producción. • Se introduce el concepto de proceso. Gestión Integral de la Calidad • la Calidad debe abarcar a todas las áreas de las empresa que  intervienen en la realización del producto. P Calidad Total • Forma de gestión de una organización centrada en la calidad  basada en la participación de todos sus miembros y que  apunta al éxito a largo plazo por medio de la satisfacción del  cliente y a proporcionar beneficios para todos los miembros de  P la organización y para la sociedad. [10] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 11. Técnicas más usadas para explotar vulnerabilidades [11] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 12. Origen de las Vulnerabilidades por Aplicación [12] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 13. Predicciones en Software Security [13] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 14. Origen de Defectos en SW – No es código!! [14] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 15. ROI en Security Software [15] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 16. Metodologías y Estándares • De Seguridad – http://www.fistconference.org/data/presentaciones/estandaresymetodologiasdeseguridad.pdf  – Conferencias FIST, Nov. 2003 – Vicente Aceituno • Generales – Anexo­Estandares­QA­SEC_RCARHUATOCTO­v1.pdf [16] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 17. Conclusiones Finales • Enfoque Sistémico (Holísitico) • Aplicable a todo el proceso de desarrollo de SW,  incluye a la etapa de toma de requerimientos • Usar Metodologías y Estándares de propósito  general y de seguridad [17] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 18. Referencias Alan Cox on writ ing bett er sof t ware By Basheera Khan - Thursday, 07 Oct ober 2004 ht t p:/ / www.pingwales.co.uk/ sof t ware/ cox - on- bet t er- sof t ware.ht m l Dire St raits The evolution of sof t ware opens new vist as for business... and t he bad guys. April 2004, By GARY MCGRAW & GREG HOGLUND ht t p:/ / infosecurit ym ag.techt arget .com/ ss/ 0,295796,sid6_iss366_art 684,00.htm l Int roduct ion t o Sof t ware Securit y Dat e: Nov 2, 2001 By Gary McGraw, John Viega. ht t p:/ / www.awprof essional.com / articles/ print erf riendly.asp?p= 23950 Cent ro de Desarrollo Microsof t Seguridad ht t p:/ / www.m icrosoft .com / spanish/ m sdn/ centro_recursos/ securit y/ def ault .asp [18] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software