SlideShare una empresa de Scribd logo

Crear software seguro como objetivo de la direccion.

Internet Security Auditors
Internet Security Auditors

Este documento resume una charla técnica sobre cómo crear software seguro. La charla explica que actualmente la mayoría de las aplicaciones tienen vulnerabilidades de seguridad debido a que la seguridad no suele ser un objetivo clave en el desarrollo de software. La charla recomienda incorporar prácticas de seguridad en todo el ciclo de vida del desarrollo de software siguiendo marcos como OWASP OpenSAMM para mejorar la seguridad del software.

Tecnología
1 de 42
Descargar para leer sin conexión
Ciclo de Charlas Técnicas ISACA-CV Fecha: 21 de abril de 2009 Crear software seguro como objetivo de la Dirección Vicente Aguilera Díaz Presidente Capítulo Español de OWASP
21/04/09Ciclo de Charlas Técnicas ISACA-CV ¿QUIÉN SOY? Cristina Cameron Vicente Aguilera Díaz Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV ¿QUIÉN SOY?  Vicente Aguilera Díaz  CISA, CISSP, ITIL, CEH|I, ECSP|I, CSSLP, OPSA, OPST  Presidente del Capítulo Español de OWASP  Socio co-fundador de Internet Security Auditors  Miembro del Consejo Técnico Asesor y miembro del Jurado de los Trofeos de Seguridad TIC de la revista RedSeguridad  Colaborador en proyectos de OWASP, WASC, OISSG  Publicación de artículos en prensa y medios especializados  Publicación de vulnerabilidades (Oracle,Gmail, Squirrelmail,...) Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV AGENDA  Introducción  Problemática de los desarrollos  Escenario actual  Comprensión de las amenazas  Crear software seguro  Justificar la inversión en seguridad  Referencias Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV INTRODUCCIÓN  El software es fácil de criticar  Software seguro – Diseñar, construir y probar el software para la seguridad – Continúa ejecutándose correctamente bajo un ataque malicioso – Diseñado con el fallo en mente – Requiere conocimientos y disciplina – Se encuentra aún en su infancia  Romper algo es más fácil que diseñarlo para que no sea roto  La seguridad no es un lujo, es una necesidad Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV INTRODUCCIÓN  Si encontramos algo como... – "Zero defects found, your program is now secure."  ... la salida apropiada debería ser – "Sorry, could'nt find any more bugs."  Mantra: – “More lines, more bugs Gary McGraw Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV PROBLEMÁTICA DE LOS DESARROLLOS  En general ... – No existe el rol de responsable de seguridad – Desarrollos sin visión de seguridad – ¿Defender el perímetro? – Cambios en el código. ¿Versiones? – Aplicaciones en producción. ¿Mantenimiento? – ¿Pruebas de seguridad? – Salir en fechas y funcionalidad vs seguridad  ... los objetivos de la Dirección no incluyen la seguridad Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV PROBLEMÁTICA DE LOS DESARROLLOS  Si los coches se construyeran como las aplicaciones... – Los tests de seguridad únicamente asumirían impactos frontales – No existirían tests para verificar la estabilidad en maniobras de emergencias – No existirían tests para verificar la efectividad de los frenos – No existirían tests para verificar la resistencia al robo – No existirían tests para ... Denis Verdon, Head of Information Security (Fidelity National Financial) OWASP AppSec 2004 Conference (New York) Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV PROBLEMÁTICA DE LOS DESARROLLOS  Hay que ver la parte positiva... – “Me alegro de que los desarrolladores de software no construyan coches” Eoin Keary, responsable del proyecto OWASP Code Review Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV ESCENARIO ACTUAL  El 80% de las vulnerabilidades afectan tecnologías Web (1)  Entre el 80% y 90% de las aplicaciones son vulnerables (2)  Al menos el 80% de las aplicaciones sufren vulnerabilidades graves (3)  El 75% de los ataques se producen a través de sitios Web (4)  Crisis económica – Se reduce la inversión en seguridad a nivel de aplicación • Aunque curiosamente se sigue invirtiendo en seguridad a nivel de red (1),(2),(3),(4) Web Application Security Trends Report, Q3-Q4 2008 | 2009 Cenzic, Inc. Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV ESCENARIO ACTUAL  Motivaciones – Hacking por profit – Ideological Hacking The Web Hacking Incidents Database 2008 – Annual Report (February 2009) Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV ESCENARIO ACTUAL Web Application Security Trends Report, Q3-Q4 2008 | 2009 Cenzic, Inc. Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV COMPRENSIÓN DE LAS AMENAZAS Si se desconoce la dimensión es posible que no se implemente la solución Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV COMPRENSIÓN DE LAS AMENAZAS Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV COMPRENSIÓN DE LAS AMENAZAS  Excusas comunes – “No creo que sea explotable: demuéstramelo” – “Confío en los administradores de redes/sistemas” – “Tienes que estar autenticado para acceder a esta página” – “A nadie se le ocurriría hacer eso” – “Esa función nunca ha dado problemas” – “Ese código no estaba previsto que acabase en producción” Según Luís Rodríguez Berzosa (Responsable Laboratorio SW de Application LifeCycle Solutions) Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  ¿Porqué ahora resulta más importante? – Conectividad – Complejidad – Extensibilidad  Y estamos obligados! Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  SDLC clásico – ¿Qué actividades de seguridad podemos/debemos incorporar? Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  SDLC seguro – SDLC basado en principios de seguridad – No existe una fórmula única para todas las organizaciones – Requiere involucrar a todos los actores: • Personas • Procesos • Tecnología Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  Buenas prácticas – OWASP CLASP (Comprehensive, Ligtheight Application Security Process) – Microsoft SDL (Secure Development Lifecycle) – SSE CMM (Secure Software Engineering Capability Maturity Model) – Cigital Touchpoints – BSIMM (Building Security In Maturity Model) – OWASP OpenSAMM (Software Assurance Maturity Model) Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  Buenas prácticas – OWASP CLASP (Comprehensive, Ligtheigt Application Security Process) • Gran número de actividades, pero sin orden ni prioridad • Útil como guía para expertos, pero difícil de seguir para el resto – Microsoft SDL (Secure Development Lifecycle) • Pesado, orientado a grandes fabricantes de productos – Cigital Touchpoints • Conceptos a alto nivel y ausencia de detalles que permitan su ejecución Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Creado por Pravir Chanda. OWASP CLASP Project Leader – Buenas prácticas para implementar una estrategia de software seguro – Los recursos proporcionados facilitan la: • Evaluación de las prácticas existentes actualmente • Construcción de un programa para la creación de software seguro • Demostración de mejoras concretas para las estrategias de seguridad • Definición y medida de actividades relacionadas con la seguridad – Es un modelo flexible que se adapta a cada organización – Independiente de fabricante – Disponible gratuitamente Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Clasifica todas las actividades en 4 dominios – Cada dominio representa un grupo de funciones de negocio Actividades relacionadas con la gestión Orientado a la definición de objetivos y desarrollo Actividades de validación y pruebas Gestión del despliegue tras la creación del software Crear software seguro como objetivo de la Dirección Construction Governance Verification Deployment
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Strategy & Metrics – Policy & Compliance – Education & Guidance Crear software seguro como objetivo de la Dirección Governance
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Strategy & Metrics • Establish unified strategic roadmap for software security within the organization • Measure relative value of data and software assets and choose risk tolerance • Align security expenditure with relevant business indicators and asset value Crear software seguro como objetivo de la Dirección Governance
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Policy & Compliance • Understand relevant governance and compliance drivers to the organization • Establish security and compliance baseline and understand per-project risks • Requiere compliance and measure projects against organization-wide policies and standards Crear software seguro como objetivo de la Dirección Governance
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Education & Guidance • Offer development staff access to resources around the topics of secure programming and deployment • Educate all personnel in the software life-cycle with role-specific guidance on secure development • Mandate comprehensive security training and certify personnel for baseline knowledge Crear software seguro como objetivo de la Dirección Governance
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Threat Assessment – Security Requirements – Secure Architecture Crear software seguro como objetivo de la Dirección Construction
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Threat Assessment • Identify and understand high-level threats to the organization and individual projects • Increase accuracy of threat assessment and improve granularity of per- project understanding • Concretely tie compensating controls to each threat against internal and third-party software Crear software seguro como objetivo de la Dirección Construction
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Security Requirements • Consider security explicitly during the software requirements process • Increase granularity of security requirements derived from business logic and known risks • Mandate security requirements process for all software projects and third- party dependencies Crear software seguro como objetivo de la Dirección Construction
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Secure Architecture • Insert consideration of proactive security guidance into the software design process • Direct the software design process toward known-secure services and secure-by-default designs • Formally control the software design process and validate utilization of secure components Crear software seguro como objetivo de la Dirección Construction
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Design Review – Code Review – Security Testing Crear software seguro como objetivo de la Dirección Verification
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Design Review • Support ad hoc reviews of software design to ensure baseline mitigations for known risks • Offer assessment services to review software design against comprehensive best practices for security • Require assessments and validate artifacts to develop detailed understanding of protection mechanisms Crear software seguro como objetivo de la Dirección Verification
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Code Review • Opportunistically find basic code-level vulnerabilities and other high-risk security issues • Make code review during development more accurate and efficient through automation • Manadate comprehensive code review process to discover language-level and application-specific risks Crear software seguro como objetivo de la Dirección Verification
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Security Testing • Establish process to perform basic security tests based on implementation and software requirements • Make security testing during development more complete and efficient through automation • Require application-specific security testing to ensure baseline security before deployment Crear software seguro como objetivo de la Dirección Verification
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Vulnerability Management – Environment Hardening – Operational Enablement Crear software seguro como objetivo de la Dirección Deployment
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Vulnerability Management • Understand high-level plan for responding to vulnerability reports or incidents • Elaborate expectations for response process to improve consistency and communications • Improve analysis and data gathering within response process for feedback into proactive planning Crear software seguro como objetivo de la Dirección Deployment
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Environment Hardening • Understand baseline operational environment for applications and software components • Improve confidence in application operations by hardening the operating environment • Validate application health and status of operational environment against known best practices Crear software seguro como objetivo de la Dirección Deployment
21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Operational Enablement • Enable communications between development teams and operators for critical security-relevant data • Improve expectations for continuous secure operations through provision of detailed procedures • Mandate communication of security information and validate artifacts for completeness Crear software seguro como objetivo de la Dirección Deployment
21/04/09Ciclo de Charlas Técnicas ISACA-CV JUSTIFICAR LA INVERSIÓN EN SEGURIDAD  Análisis de Riesgo – Si invertimos X€, reduciremos las pérdidas de Y un Z%  Respuesta a Incidentes – Tenemos que invertir X€ en Y para que Z nunca vuelva a ocurrir  Cumplimiento normativo – Tenemos que invertir X€ en Y porque PCI nos obliga  Ventaja competitiva – Tenemos que invertir X€ en Y para mejorar nuestra imágen Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV REFERENCIAS  OWASP CLASP – http://www.owasp.org/index.php/Category:OWASP_CLASP_Project  OWASP OPENSAMM – http://www.opensamm.org/  BSIMM – http://www.opensamm.org/  Software Engineering – Security as a process in the SDLC – http://www.sans.org/reading_room/whitepapers/securecode/software _engineering_-_security_as_a_process_in_the_sdlc_1846 Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV REFERENCIAS  Libros Crear software seguro como objetivo de la Dirección
21/04/09Ciclo de Charlas Técnicas ISACA-CV GRACIAS POR SU ATENCIÓN

Recomendados

PresentacionPFC_ppt
PresentacionPFC_pptPresentacionPFC_ppt
PresentacionPFC_pptAdrià Navarro Martin
 
Desarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMDesarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMInternet Security Auditors
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareFacultad de Informática UCM
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP Luis Sanchez
 
Perspectiva Procesos Internos
Perspectiva Procesos InternosPerspectiva Procesos Internos
Perspectiva Procesos InternosGunnar Zapata Zurita
 
Canal de Compliance - Canal de Denuncias
Canal de Compliance - Canal de DenunciasCanal de Compliance - Canal de Denuncias
Canal de Compliance - Canal de DenunciasJuan Bosco Gimeno
 

Recomendados

PresentacionPFC_ppt
PresentacionPFC_pptPresentacionPFC_ppt
PresentacionPFC_pptAdrià Navarro Martin
 
Desarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMDesarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMInternet Security Auditors
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareFacultad de Informática UCM
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP �
Un Evento Aislado + Un Patrón + Una Vulnerabilidad = Un Presagio para la VoIP Luis Sanchez
 
Perspectiva Procesos Internos
Perspectiva Procesos InternosPerspectiva Procesos Internos
Perspectiva Procesos InternosGunnar Zapata Zurita
 
Canal de Compliance - Canal de Denuncias
Canal de Compliance - Canal de DenunciasCanal de Compliance - Canal de Denuncias
Canal de Compliance - Canal de DenunciasJuan Bosco Gimeno
 
Nuevo Enfoque de la Auditoría Empresarial a través de GRC
Nuevo Enfoque de la Auditoría Empresarial a través de GRCNuevo Enfoque de la Auditoría Empresarial a través de GRC
Nuevo Enfoque de la Auditoría Empresarial a través de GRCbalejandre
 
Valoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y GestiónValoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y GestiónHernan Huwyler, MBA CPA
 
Caracteristicas del enfoque de auditoria
Caracteristicas del enfoque de auditoriaCaracteristicas del enfoque de auditoria
Caracteristicas del enfoque de auditoriaDavid Endara
 
Compliance Risk Map Mapa de Riesgos Penales para Compliance Officer
Compliance Risk Map Mapa de Riesgos Penales para Compliance OfficerCompliance Risk Map Mapa de Riesgos Penales para Compliance Officer
Compliance Risk Map Mapa de Riesgos Penales para Compliance OfficerHernan Huwyler, MBA CPA
 
Validacion Procesos QbD
Validacion Procesos QbDValidacion Procesos QbD
Validacion Procesos QbDAlicia Tébar
 
Diseño del Plan de Compliance Hernan Huwyler
Diseño del Plan de Compliance Hernan HuwylerDiseño del Plan de Compliance Hernan Huwyler
Diseño del Plan de Compliance Hernan HuwylerHernan Huwyler, MBA CPA
 
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2Fernando M. Imperiale
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPEnrique Gustavo Dutra
 
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Luciano Moreira da Cruz
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBMPMI Capítulo México
 
Desarrollo de software.pptx
Desarrollo de software.pptxDesarrollo de software.pptx
Desarrollo de software.pptxLINAMARCELAESCOBARHI
 
Taller: Scrum - Osvaldo Comelli
Taller: Scrum - Osvaldo ComelliTaller: Scrum - Osvaldo Comelli
Taller: Scrum - Osvaldo ComelliCongreso Nacional de Software - IBERO 2015
 
Asegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadAsegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadChema Alonso
 
Modelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareModelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareSoftware Guru
 
Anteproyecto Liliana cujar
Anteproyecto Liliana cujarAnteproyecto Liliana cujar
Anteproyecto Liliana cujarclemencia buitrago
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITViewnext
 
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Amazon Web Services
 

Más contenido relacionado

Destacado

Nuevo Enfoque de la Auditoría Empresarial a través de GRC
Nuevo Enfoque de la Auditoría Empresarial a través de GRCNuevo Enfoque de la Auditoría Empresarial a través de GRC
Nuevo Enfoque de la Auditoría Empresarial a través de GRCbalejandre
 
Valoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y GestiónValoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y GestiónHernan Huwyler, MBA CPA
 
Caracteristicas del enfoque de auditoria
Caracteristicas del enfoque de auditoriaCaracteristicas del enfoque de auditoria
Caracteristicas del enfoque de auditoriaDavid Endara
 
Compliance Risk Map Mapa de Riesgos Penales para Compliance Officer
Compliance Risk Map Mapa de Riesgos Penales para Compliance OfficerCompliance Risk Map Mapa de Riesgos Penales para Compliance Officer
Compliance Risk Map Mapa de Riesgos Penales para Compliance OfficerHernan Huwyler, MBA CPA
 
Validacion Procesos QbD
Validacion Procesos QbDValidacion Procesos QbD
Validacion Procesos QbDAlicia Tébar
 
Diseño del Plan de Compliance Hernan Huwyler
Diseño del Plan de Compliance Hernan HuwylerDiseño del Plan de Compliance Hernan Huwyler
Diseño del Plan de Compliance Hernan HuwylerHernan Huwyler, MBA CPA
 

Destacado (6)

Nuevo Enfoque de la Auditoría Empresarial a través de GRC
Nuevo Enfoque de la Auditoría Empresarial a través de GRCNuevo Enfoque de la Auditoría Empresarial a través de GRC
Nuevo Enfoque de la Auditoría Empresarial a través de GRC
 
Valoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y GestiónValoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y Gestión
 
Caracteristicas del enfoque de auditoria
Caracteristicas del enfoque de auditoriaCaracteristicas del enfoque de auditoria
Caracteristicas del enfoque de auditoria
 
Compliance Risk Map Mapa de Riesgos Penales para Compliance Officer
Compliance Risk Map Mapa de Riesgos Penales para Compliance OfficerCompliance Risk Map Mapa de Riesgos Penales para Compliance Officer
Compliance Risk Map Mapa de Riesgos Penales para Compliance Officer
 
Validacion Procesos QbD
Validacion Procesos QbDValidacion Procesos QbD
Validacion Procesos QbD
 
Diseño del Plan de Compliance Hernan Huwyler
Diseño del Plan de Compliance Hernan HuwylerDiseño del Plan de Compliance Hernan Huwyler
Diseño del Plan de Compliance Hernan Huwyler
 

Similar a Crear software seguro como objetivo de la direccion.

SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2Fernando M. Imperiale
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPEnrique Gustavo Dutra
 
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Luciano Moreira da Cruz
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
Asegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadAsegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadChema Alonso
 
Modelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareModelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareSoftware Guru
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITViewnext
 
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Amazon Web Services
 
Ciclo de vida del software
Ciclo de vida del softwareCiclo de vida del software
Ciclo de vida del softwaresaulcandiainacap
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actualJaime Restrepo
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 

Similar a Crear software seguro como objetivo de la direccion. (20)

SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
SuperMaraton - Session 9 - IBM AppScan - Fernando Imperiale v2
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASP
 
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Desarrollo de software.pptx
Desarrollo de software.pptxDesarrollo de software.pptx
Desarrollo de software.pptx
 
Taller: Scrum - Osvaldo Comelli
Taller: Scrum - Osvaldo ComelliTaller: Scrum - Osvaldo Comelli
Taller: Scrum - Osvaldo Comelli
 
Asegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadAsegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y Seguridad
 
Modelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareModelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de software
 
Anteproyecto Liliana cujar
Anteproyecto Liliana cujarAnteproyecto Liliana cujar
Anteproyecto Liliana cujar
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad IT
 
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
 
Ciclo de vida del software
Ciclo de vida del softwareCiclo de vida del software
Ciclo de vida del software
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actual
 
Menos Buffer Overflows, más SQL Injections
Menos Buffer Overflows, más SQL InjectionsMenos Buffer Overflows, más SQL Injections
Menos Buffer Overflows, más SQL Injections
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
 

Más de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Más de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

Último

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 

Último (10)

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

Crear software seguro como objetivo de la direccion.

  • 1. Ciclo de Charlas Técnicas ISACA-CV Fecha: 21 de abril de 2009 Crear software seguro como objetivo de la Dirección Vicente Aguilera Díaz Presidente Capítulo Español de OWASP
  • 2. 21/04/09Ciclo de Charlas Técnicas ISACA-CV ¿QUIÉN SOY? Cristina Cameron Vicente Aguilera Díaz Crear software seguro como objetivo de la Dirección
  • 3. 21/04/09Ciclo de Charlas Técnicas ISACA-CV ¿QUIÉN SOY?  Vicente Aguilera Díaz  CISA, CISSP, ITIL, CEH|I, ECSP|I, CSSLP, OPSA, OPST  Presidente del Capítulo Español de OWASP  Socio co-fundador de Internet Security Auditors  Miembro del Consejo Técnico Asesor y miembro del Jurado de los Trofeos de Seguridad TIC de la revista RedSeguridad  Colaborador en proyectos de OWASP, WASC, OISSG  Publicación de artículos en prensa y medios especializados  Publicación de vulnerabilidades (Oracle,Gmail, Squirrelmail,...) Crear software seguro como objetivo de la Dirección
  • 4. 21/04/09Ciclo de Charlas Técnicas ISACA-CV AGENDA  Introducción  Problemática de los desarrollos  Escenario actual  Comprensión de las amenazas  Crear software seguro  Justificar la inversión en seguridad  Referencias Crear software seguro como objetivo de la Dirección
  • 5. 21/04/09Ciclo de Charlas Técnicas ISACA-CV INTRODUCCIÓN  El software es fácil de criticar  Software seguro – Diseñar, construir y probar el software para la seguridad – Continúa ejecutándose correctamente bajo un ataque malicioso – Diseñado con el fallo en mente – Requiere conocimientos y disciplina – Se encuentra aún en su infancia  Romper algo es más fácil que diseñarlo para que no sea roto  La seguridad no es un lujo, es una necesidad Crear software seguro como objetivo de la Dirección
  • 6. 21/04/09Ciclo de Charlas Técnicas ISACA-CV INTRODUCCIÓN  Si encontramos algo como... – "Zero defects found, your program is now secure."  ... la salida apropiada debería ser – "Sorry, could'nt find any more bugs."  Mantra: – “More lines, more bugs Gary McGraw Crear software seguro como objetivo de la Dirección
  • 7. 21/04/09Ciclo de Charlas Técnicas ISACA-CV PROBLEMÁTICA DE LOS DESARROLLOS  En general ... – No existe el rol de responsable de seguridad – Desarrollos sin visión de seguridad – ¿Defender el perímetro? – Cambios en el código. ¿Versiones? – Aplicaciones en producción. ¿Mantenimiento? – ¿Pruebas de seguridad? – Salir en fechas y funcionalidad vs seguridad  ... los objetivos de la Dirección no incluyen la seguridad Crear software seguro como objetivo de la Dirección
  • 8. 21/04/09Ciclo de Charlas Técnicas ISACA-CV PROBLEMÁTICA DE LOS DESARROLLOS  Si los coches se construyeran como las aplicaciones... – Los tests de seguridad únicamente asumirían impactos frontales – No existirían tests para verificar la estabilidad en maniobras de emergencias – No existirían tests para verificar la efectividad de los frenos – No existirían tests para verificar la resistencia al robo – No existirían tests para ... Denis Verdon, Head of Information Security (Fidelity National Financial) OWASP AppSec 2004 Conference (New York) Crear software seguro como objetivo de la Dirección
  • 9. 21/04/09Ciclo de Charlas Técnicas ISACA-CV PROBLEMÁTICA DE LOS DESARROLLOS  Hay que ver la parte positiva... – “Me alegro de que los desarrolladores de software no construyan coches” Eoin Keary, responsable del proyecto OWASP Code Review Crear software seguro como objetivo de la Dirección
  • 10. 21/04/09Ciclo de Charlas Técnicas ISACA-CV ESCENARIO ACTUAL  El 80% de las vulnerabilidades afectan tecnologías Web (1)  Entre el 80% y 90% de las aplicaciones son vulnerables (2)  Al menos el 80% de las aplicaciones sufren vulnerabilidades graves (3)  El 75% de los ataques se producen a través de sitios Web (4)  Crisis económica – Se reduce la inversión en seguridad a nivel de aplicación • Aunque curiosamente se sigue invirtiendo en seguridad a nivel de red (1),(2),(3),(4) Web Application Security Trends Report, Q3-Q4 2008 | 2009 Cenzic, Inc. Crear software seguro como objetivo de la Dirección
  • 11. 21/04/09Ciclo de Charlas Técnicas ISACA-CV ESCENARIO ACTUAL  Motivaciones – Hacking por profit – Ideological Hacking The Web Hacking Incidents Database 2008 – Annual Report (February 2009) Crear software seguro como objetivo de la Dirección
  • 12. 21/04/09Ciclo de Charlas Técnicas ISACA-CV ESCENARIO ACTUAL Web Application Security Trends Report, Q3-Q4 2008 | 2009 Cenzic, Inc. Crear software seguro como objetivo de la Dirección
  • 13. 21/04/09Ciclo de Charlas Técnicas ISACA-CV COMPRENSIÓN DE LAS AMENAZAS Si se desconoce la dimensión es posible que no se implemente la solución Crear software seguro como objetivo de la Dirección
  • 14. 21/04/09Ciclo de Charlas Técnicas ISACA-CV COMPRENSIÓN DE LAS AMENAZAS Crear software seguro como objetivo de la Dirección
  • 15. 21/04/09Ciclo de Charlas Técnicas ISACA-CV COMPRENSIÓN DE LAS AMENAZAS  Excusas comunes – “No creo que sea explotable: demuéstramelo” – “Confío en los administradores de redes/sistemas” – “Tienes que estar autenticado para acceder a esta página” – “A nadie se le ocurriría hacer eso” – “Esa función nunca ha dado problemas” – “Ese código no estaba previsto que acabase en producción” Según Luís Rodríguez Berzosa (Responsable Laboratorio SW de Application LifeCycle Solutions) Crear software seguro como objetivo de la Dirección
  • 16. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  ¿Porqué ahora resulta más importante? – Conectividad – Complejidad – Extensibilidad  Y estamos obligados! Crear software seguro como objetivo de la Dirección
  • 17. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  SDLC clásico – ¿Qué actividades de seguridad podemos/debemos incorporar? Crear software seguro como objetivo de la Dirección
  • 18. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  SDLC seguro – SDLC basado en principios de seguridad – No existe una fórmula única para todas las organizaciones – Requiere involucrar a todos los actores: • Personas • Procesos • Tecnología Crear software seguro como objetivo de la Dirección
  • 19. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  Buenas prácticas – OWASP CLASP (Comprehensive, Ligtheight Application Security Process) – Microsoft SDL (Secure Development Lifecycle) – SSE CMM (Secure Software Engineering Capability Maturity Model) – Cigital Touchpoints – BSIMM (Building Security In Maturity Model) – OWASP OpenSAMM (Software Assurance Maturity Model) Crear software seguro como objetivo de la Dirección
  • 20. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  Buenas prácticas – OWASP CLASP (Comprehensive, Ligtheigt Application Security Process) • Gran número de actividades, pero sin orden ni prioridad • Útil como guía para expertos, pero difícil de seguir para el resto – Microsoft SDL (Secure Development Lifecycle) • Pesado, orientado a grandes fabricantes de productos – Cigital Touchpoints • Conceptos a alto nivel y ausencia de detalles que permitan su ejecución Crear software seguro como objetivo de la Dirección
  • 21. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Creado por Pravir Chanda. OWASP CLASP Project Leader – Buenas prácticas para implementar una estrategia de software seguro – Los recursos proporcionados facilitan la: • Evaluación de las prácticas existentes actualmente • Construcción de un programa para la creación de software seguro • Demostración de mejoras concretas para las estrategias de seguridad • Definición y medida de actividades relacionadas con la seguridad – Es un modelo flexible que se adapta a cada organización – Independiente de fabricante – Disponible gratuitamente Crear software seguro como objetivo de la Dirección
  • 22. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Clasifica todas las actividades en 4 dominios – Cada dominio representa un grupo de funciones de negocio Actividades relacionadas con la gestión Orientado a la definición de objetivos y desarrollo Actividades de validación y pruebas Gestión del despliegue tras la creación del software Crear software seguro como objetivo de la Dirección Construction Governance Verification Deployment
  • 23. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Strategy & Metrics – Policy & Compliance – Education & Guidance Crear software seguro como objetivo de la Dirección Governance
  • 24. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Strategy & Metrics • Establish unified strategic roadmap for software security within the organization • Measure relative value of data and software assets and choose risk tolerance • Align security expenditure with relevant business indicators and asset value Crear software seguro como objetivo de la Dirección Governance
  • 25. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Policy & Compliance • Understand relevant governance and compliance drivers to the organization • Establish security and compliance baseline and understand per-project risks • Requiere compliance and measure projects against organization-wide policies and standards Crear software seguro como objetivo de la Dirección Governance
  • 26. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Education & Guidance • Offer development staff access to resources around the topics of secure programming and deployment • Educate all personnel in the software life-cycle with role-specific guidance on secure development • Mandate comprehensive security training and certify personnel for baseline knowledge Crear software seguro como objetivo de la Dirección Governance
  • 27. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Threat Assessment – Security Requirements – Secure Architecture Crear software seguro como objetivo de la Dirección Construction
  • 28. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Threat Assessment • Identify and understand high-level threats to the organization and individual projects • Increase accuracy of threat assessment and improve granularity of per- project understanding • Concretely tie compensating controls to each threat against internal and third-party software Crear software seguro como objetivo de la Dirección Construction
  • 29. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Security Requirements • Consider security explicitly during the software requirements process • Increase granularity of security requirements derived from business logic and known risks • Mandate security requirements process for all software projects and third- party dependencies Crear software seguro como objetivo de la Dirección Construction
  • 30. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Secure Architecture • Insert consideration of proactive security guidance into the software design process • Direct the software design process toward known-secure services and secure-by-default designs • Formally control the software design process and validate utilization of secure components Crear software seguro como objetivo de la Dirección Construction
  • 31. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Design Review – Code Review – Security Testing Crear software seguro como objetivo de la Dirección Verification
  • 32. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Design Review • Support ad hoc reviews of software design to ensure baseline mitigations for known risks • Offer assessment services to review software design against comprehensive best practices for security • Require assessments and validate artifacts to develop detailed understanding of protection mechanisms Crear software seguro como objetivo de la Dirección Verification
  • 33. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Code Review • Opportunistically find basic code-level vulnerabilities and other high-risk security issues • Make code review during development more accurate and efficient through automation • Manadate comprehensive code review process to discover language-level and application-specific risks Crear software seguro como objetivo de la Dirección Verification
  • 34. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Security Testing • Establish process to perform basic security tests based on implementation and software requirements • Make security testing during development more complete and efficient through automation • Require application-specific security testing to ensure baseline security before deployment Crear software seguro como objetivo de la Dirección Verification
  • 35. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Vulnerability Management – Environment Hardening – Operational Enablement Crear software seguro como objetivo de la Dirección Deployment
  • 36. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Vulnerability Management • Understand high-level plan for responding to vulnerability reports or incidents • Elaborate expectations for response process to improve consistency and communications • Improve analysis and data gathering within response process for feedback into proactive planning Crear software seguro como objetivo de la Dirección Deployment
  • 37. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Environment Hardening • Understand baseline operational environment for applications and software components • Improve confidence in application operations by hardening the operating environment • Validate application health and status of operational environment against known best practices Crear software seguro como objetivo de la Dirección Deployment
  • 38. 21/04/09Ciclo de Charlas Técnicas ISACA-CV CREAR SOFTWARE SEGURO  OWASP OpenSAMM – Operational Enablement • Enable communications between development teams and operators for critical security-relevant data • Improve expectations for continuous secure operations through provision of detailed procedures • Mandate communication of security information and validate artifacts for completeness Crear software seguro como objetivo de la Dirección Deployment
  • 39. 21/04/09Ciclo de Charlas Técnicas ISACA-CV JUSTIFICAR LA INVERSIÓN EN SEGURIDAD  Análisis de Riesgo – Si invertimos X€, reduciremos las pérdidas de Y un Z%  Respuesta a Incidentes – Tenemos que invertir X€ en Y para que Z nunca vuelva a ocurrir  Cumplimiento normativo – Tenemos que invertir X€ en Y porque PCI nos obliga  Ventaja competitiva – Tenemos que invertir X€ en Y para mejorar nuestra imágen Crear software seguro como objetivo de la Dirección
  • 40. 21/04/09Ciclo de Charlas Técnicas ISACA-CV REFERENCIAS  OWASP CLASP – http://www.owasp.org/index.php/Category:OWASP_CLASP_Project  OWASP OPENSAMM – http://www.opensamm.org/  BSIMM – http://www.opensamm.org/  Software Engineering – Security as a process in the SDLC – http://www.sans.org/reading_room/whitepapers/securecode/software _engineering_-_security_as_a_process_in_the_sdlc_1846 Crear software seguro como objetivo de la Dirección
  • 41. 21/04/09Ciclo de Charlas Técnicas ISACA-CV REFERENCIAS  Libros Crear software seguro como objetivo de la Dirección
  • 42. 21/04/09Ciclo de Charlas Técnicas ISACA-CV GRACIAS POR SU ATENCIÓN