iniciando en desarrollo seguro - owasp › › latamtour2017_gabriel...gabriel robalino cpte, cswae...
TRANSCRIPT
![Page 1: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/1.jpg)
Iniciando en Desarrollo Seguro
¿Por dónde Empezar?
Presentador:
Gabriel RobalinoCPTE, CSWAE
![Page 2: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/2.jpg)
Acerca de mi
• Ingeniero de Software
• 5 años de experiencia en desarrollo
• C/C++, C#, Java, Python
• 3 años en seguridad
• Evaluaciones de Seguridad
• Automatización de procesos
![Page 3: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/3.jpg)
¿Por qué esta charla?
¡No más lágrimas!
![Page 4: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/4.jpg)
INTRODUCCIÓNSituación Actual
![Page 5: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/5.jpg)
Anhelo
“Aplicaciones Seguras ejecutándose sobre Sistemas Seguros en Redes
Seguras”
![Page 6: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/6.jpg)
Desafíos
• Las tres restricciones tradicionales
• Ausencia de conocimientos de seguridad
• La seguridad como reflexión tardía
• Controles Técnicos sobre Administrativos
• Seguridad vs “Usabilidad”
![Page 7: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/7.jpg)
¿Cómo enfrentarlo?
RiesgoIntegridad
Privacidad
Acceso
Diseño
Alcance
AmenazaCumplimiento
SEGURIDAD
VulnerabilidadesCódigo Seguro
Estándares
Metodologías
Regulaciones
Innovación
![Page 8: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/8.jpg)
ALINEANDO CONCEPTOS¿Sabemos de seguridad?
![Page 9: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/9.jpg)
Conceptos de Seguridad
Core
Design
Confidentiality Integrity Availability
Authentication Authorization Accountability
Least PrivilegeSeparation of
DutiesDefense in
Depth
Fail SecureEconomy of Mechanisms
Complete Mediation
Open DesignLeast Common
MechanismsPsychologicalAcceptability
Weakest LinkLeveraging Existing
Components
![Page 10: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/10.jpg)
Gestión de Riesgo
Activos
Propietarios
Agente de
Amenaza
Control
AmenazaRiesgo
Vulnerabilidad
expone
puede tener
reduce
desea minimizar
produce
desea abusar
impone
reducido por
puede ser consciente de
aumenta
explotamaterializa
valora
![Page 11: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/11.jpg)
ESTÁNDARES DE SEGURIDAD
![Page 12: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/12.jpg)
Estándar NIST
• Desarrolla tecnologías, métodos de medición y normas.
• Mejora calidad y capacidades
• Promueve la innovación
• Documentación
– Special Publications (SP 800-XX)
– Federal Information Processing Standards (FIPS)
![Page 13: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/13.jpg)
Estándares ISO
• Estándar Internacional
• Norma productos y servicios
• Aplica a cualquier organización
• Algunas a considerar
o ISO/IEC 15408 – Common Criteria
o ISO/IEC 21827 – SSE-CMM
o ISO/IEC 15504 – SPICE
![Page 14: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/14.jpg)
PCI Standard
• Estándar de Industria
• Protección de datos del tarjetahabiente
o Almacenar
o Procesar
o Transmitir
• Documentación
o PCI DSS v3.2
o PA DSS v3.2
![Page 15: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/15.jpg)
METODOLOGÍAS DE ASEGURAMIENTO DE SOFTWARE
![Page 16: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/16.jpg)
Metodologías Tradicionales
Desarrollo Tradicional
• Modelo Cascada
• Iterativo/Prototipo
• Espiral/Evolutivo
Desarrollo Ágil
• Programación Extrema (XP)
• SCRUM
• Desarrollo Adaptativo
![Page 17: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/17.jpg)
Hitos decisivos
![Page 18: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/18.jpg)
Six Sigma (6σ)
• Estrategia de gestión de negocios
• Mejorar = Eliminación de Defectos
• Defectos son desviaciones de las especificaciones.
• DMAIC (Define, Measure, Analyze, Improve and Control)
• DMADV (Define, Measure, Analyze, Designe and Verify)
NOTA: Sigue siendo inseguro si no se incluyen requerimientos de seguridad
![Page 19: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/19.jpg)
Capability Maturity Model Integration(CMMI)
• Mejora de los procesos
• Tres áreas: Development, Delivery and Adquisition
• Cinco niveles de madures:
o Nivel 1 – Inicial
o Nivel 2 – Administrado o Repetible
o Nivel 3 – Definido
o Nivel 4 – Administrado Cuantitativamente
o Nivel 5 - Optimizado
![Page 20: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/20.jpg)
Operationally Critical Threat Asset and Vulnerabiliy Evaluation (OCTAVE®)
Fase 1 – Vista Organizacional
ActivosAmenazasPracticas ActualesVulnerabilidadesRequerimientos de Seguridad
Fase 2 – Vista Tecnológica
Componentes clavesVulnerabilidades
Fase 3 – Estrategia y Plan de Desarrollo
RiesgosEstrategia de ProtecciónPlan de Mitigación
![Page 21: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/21.jpg)
Otras Metodologías
STRIDE
• Modelamiento de Amenazao Spoofing
o Tampering
o Repudiation
o Information Disclosure
o Denial of Service
o Elevation of Privilege
DREAD
• Clasificación de Riesgoo Damage potencial
o Reproducibility
o Exploitability
o Affected users
o Discoverability
![Page 22: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/22.jpg)
BUENAS PRÁCTICASOpen Web Application Security Project (OWASP)
![Page 23: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/23.jpg)
Open Web Application Security Proyect (OWASP)
![Page 24: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/24.jpg)
Open Web Application Security Proyect (OWASP)• OWASP Testing Guide
• OWASP Development Guide
• OWASP Code Review Guide
• Estándar de verificación de seguridad (ASVS)
• APIs de Seguridad
• Analizadores de vulnerabilidades
• Laboratorio de Entrenamiento
• Talleres de Seguridad
• OWASP TOP 10 (Web and Mobile)
![Page 25: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/25.jpg)
En resumen
• Conocer conceptos claves de seguridad
• Contar con una metodología de aseguramiento*
• Requerimientos de Seguridad y Negocio unificados
• Adoptar buenas prácticas
• Aprovechar las herramientas públicas
o OWASP
o SAMM
o BSIMM
![Page 26: Iniciando en Desarrollo Seguro - OWASP › › LatamTour2017_Gabriel...Gabriel Robalino CPTE, CSWAE Acerca de mi •Ingeniero de Software •5 años de experiencia en desarrollo •C/C++,](https://reader033.vdocumento.com/reader033/viewer/2022060420/5f172b77a9239a5701647265/html5/thumbnails/26.jpg)
GRACIAS…