SlideShare une entreprise Scribd logo

La necesidad de construir software seguro. IBM Software Summit #Start013

Internet Security Auditors
Internet Security Auditors

Construir software seguro siempre debería haber sido una necesidad en cualquier proyecto de desarrollo y los requerimientos de seguridad deberían haber sido contemplados con la misma prioridad que los requerimientos funcionales. La presentación expone, entre otros muchos temas, recursos de OWASP y cómo pueden ayudarnos para la consecución de nuestro objetivo: la creación de software seguro.

1  sur  24
Télécharger pour lire hors ligne
La necesidad de construir software seguro Vicente Aguilera Díaz vicente.aguilera@owasp.org OWASP Spain Chapter Leader Socio de Internet Security Auditors IBM Software Summit #START013. Madrid 06/11/2012.
Agenda • Dependencia del software • Construcción de software seguro • OWASP • Conclusiones y recomendaciones
Dependencia del software
Dependencia del software • Es crítico crear software seguro: • Conectividad • Complejidad • Extensibilidad • … y requerimientos normativos
Dependencia del software • ¿Y el mundo de los dispositivos móviles?
Dependencia del software
Construcción de software seguro
Construcción de software seguro • ¿Qué entendemos como software seguro? • Diseñado, construido y probado para su seguridad • Continúa ejecutándose correctamente bajo ataque • Diseñado con el fallo en mente
Construcción de software seguro • ¿Porqué ha cobrado tanta relevancia? • Proliferación de modelos de negocio en la web • Las aplicaciones resultan muy atractivas • Auge de los dispositivo móviles • La mayoría de aplicaciones son vulnerables • Nuevos requerimientos normativos
Construcción de software seguro • ¿Porqué ha cobrado tanta relevancia?
Construcción de software seguro • Todo es posible en la web
Construcción de software seguro • ¿Cómo conseguir crear software seguro? • Adoptar un modelo de madurez • La seguridad debe ser considerada desde el inicio • S-SDLC es la clave
Construcción de software seguro • Secure SDLC es la clave • SDLC basado en principios de seguridad • No existe una fórmula única para su implementación • Implica a personas, procesos y tecnología
Construcción de software seguro • Iniciativas de seguridad en el desarrollo de software: • Microsoft SDL • OWASP CLASP • Cigital Software Security Touchpoints • OWASP OpenSAMM • BSIMM • SSE CMM
Construcción de software seguro • Ejemplos de actividades de seguridad: • Clasificar datos y aplicaciones según su riesgo • Desarrollar y mantener guías de cumplimiento • Realizar formación en seguridad para cada rol • Elaborar modelos de amenaza • Identificar patrones de seguridad en el diseño • Realizar revisiones de código • Realizar pruebas de seguridad en las aplicaciones • Establecer hitos para la revisión del diseño • Crear procedimientos de gestión de cambio
OWASP
OWASP • Comunidad libre y abierta sobre seguridad en aplicaciones • Búsqueda y lucha contra las causas de software inseguro • Creación de herramientas, documentación y estándares • Conferencias • Recursos gratuitos y de código abierto • 10.000 miembros y 250 capítulos locales en el mundo • Más de 200 proyectos • www.owasp.org
OWASP • Principales proyectos a nivel de documentación: • Top 10 • Guía de pruebas • Guía de desarrollo • Guía de revisión de código • ASVS
OWASP • Principales proyectos a nivel de herramientas: • ZAP • WebGoat • ESAPI • Live CD
OWASP Define and Design Develop Deploy Maintain Security Training Security Requirements Design & Architecture Security Review Threat Model Manual Code Review Static Analysis (tools) Penetration Testing OWASP Education OWASP WebGoat OWASP HackAcademic Challenges OWASP ASDR OWASP Application Security Requirements OWASP Threat Modelling OWASP Top 10 OWASP Risk Rating Methodology OWASP LAPSE OWASP YASCA OWASP Code Review OWASP Testing Guide OWASP ZAP OWASP LiveCD OWASPOpenSAMM
Conclusiones y recomendaciones
Conclusiones • Necesitamos crear software seguro • Debemos conocer todos los riesgos y cómo mitigarlos • Necesitamos invertir más en la seguridad del software • Software seguro ≠ código seguro
Recomendaciones • Clasificar las aplicaciones y definir niveles de seguridad • Verificar la adopción de los requerimientos de seguridad • Crear el software pensando en los casos de abuso • Huir de la solución “todo en uno” • Seguir el principio de defensa en profundidad • Identificar los marcos regulatorios y su cumplimiento • Equiparar requerimientos de seguridad a los funcionales • Estar informado sobre las amenazas existentes • No despreciar soluciones open-source • Potenciar la cultura de la seguridad en la organización
? dudas / comentarios/ sugerencias ¡Muchas gracias!

Recommandé

Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaCSA Argentina
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Metodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasMetodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasHéctor Garduño Real
 
La obsolencia programada
La obsolencia programadaLa obsolencia programada
La obsolencia programadayojhis
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASPEdwardZarate2
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 

Recommandé

Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaCSA Argentina
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Metodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasMetodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasHéctor Garduño Real
 
La obsolencia programada
La obsolencia programadaLa obsolencia programada
La obsolencia programadayojhis
 
Introduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaIntroduccion a la OWASP Guatemala
Introduccion a la OWASP GuatemalaCamilo Fernandez
 
Open Web Application Security Project OWASP
Open Web Application Security Project OWASPOpen Web Application Security Project OWASP
Open Web Application Security Project OWASPEdwardZarate2
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting 2017 - Proyecto OWASP Top 10
Argentesting 2017 - Proyecto OWASP Top 10Argentesting
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Patrones de Diseño en la Arquitectura de Integración Moderna
Patrones de Diseño en la Arquitectura de Integración ModernaPatrones de Diseño en la Arquitectura de Integración Moderna
Patrones de Diseño en la Arquitectura de Integración ModernaFrancisco Arturo Viveros
 
Ingenieria en software
Ingenieria en softwareIngenieria en software
Ingenieria en softwareEl Tory
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Frameworks de Desarrollo Web Grails
Frameworks de Desarrollo Web GrailsFrameworks de Desarrollo Web Grails
Frameworks de Desarrollo Web GrailsEsteban Saavedra
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003Internet Security Auditors
 
Ingeniería de software Definicion,inicion,importancia y utilidad
Ingeniería de software Definicion,inicion,importancia y utilidadIngeniería de software Definicion,inicion,importancia y utilidad
Ingeniería de software Definicion,inicion,importancia y utilidadXKWDX
 
Is clase1
Is clase1Is clase1
Is clase1Lismirabal
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 
Seguridad vs Software libre
Seguridad vs Software libreSeguridad vs Software libre
Seguridad vs Software libreHector L
 
Oracle Application Framework
Oracle Application FrameworkOracle Application Framework
Oracle Application Frameworkavanttic Consultoría Tecnológica
 
Is clase1
Is clase1Is clase1
Is clase1Lismirabal
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Alonso Caballero
 
Ciclo de vida del software.pptx
Ciclo de vida del software.pptxCiclo de vida del software.pptx
Ciclo de vida del software.pptxJasonPadilla9
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena
 
Comenzando a usar el Continuous Delivery
Comenzando a usar el Continuous Delivery Comenzando a usar el Continuous Delivery
Comenzando a usar el Continuous DeliveryAmazon Web Services LATAM
 
CONDICIONES DE TRABAJO.pptx
CONDICIONES DE TRABAJO.pptxCONDICIONES DE TRABAJO.pptx
CONDICIONES DE TRABAJO.pptxMiguelStar1
 
ISACA DevOps LATAM
ISACA DevOps LATAMISACA DevOps LATAM
ISACA DevOps LATAMCarlos Chalico
 
Software en la actualidad
Software en la actualidadSoftware en la actualidad
Software en la actualidadRaelyx Cordero
 
Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 

Contenu connexe

Similaire à La necesidad de construir software seguro. IBM Software Summit #Start013

Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Patrones de Diseño en la Arquitectura de Integración Moderna
Patrones de Diseño en la Arquitectura de Integración ModernaPatrones de Diseño en la Arquitectura de Integración Moderna
Patrones de Diseño en la Arquitectura de Integración ModernaFrancisco Arturo Viveros
 
Ingenieria en software
Ingenieria en softwareIngenieria en software
Ingenieria en softwareEl Tory
 
Frameworks de Desarrollo Web Grails
Frameworks de Desarrollo Web GrailsFrameworks de Desarrollo Web Grails
Frameworks de Desarrollo Web GrailsEsteban Saavedra
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003Internet Security Auditors
 
Ingeniería de software Definicion,inicion,importancia y utilidad
Ingeniería de software Definicion,inicion,importancia y utilidadIngeniería de software Definicion,inicion,importancia y utilidad
Ingeniería de software Definicion,inicion,importancia y utilidadXKWDX
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 
Seguridad vs Software libre
Seguridad vs Software libreSeguridad vs Software libre
Seguridad vs Software libreHector L
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Alonso Caballero
 
Ciclo de vida del software.pptx
Ciclo de vida del software.pptxCiclo de vida del software.pptx
Ciclo de vida del software.pptxJasonPadilla9
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena
 
CONDICIONES DE TRABAJO.pptx
CONDICIONES DE TRABAJO.pptxCONDICIONES DE TRABAJO.pptx
CONDICIONES DE TRABAJO.pptxMiguelStar1
 
Software en la actualidad
Software en la actualidadSoftware en la actualidad
Software en la actualidadRaelyx Cordero
 

Similaire à La necesidad de construir software seguro. IBM Software Summit #Start013 (20)

Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
Patrones de Diseño en la Arquitectura de Integración Moderna
Patrones de Diseño en la Arquitectura de Integración ModernaPatrones de Diseño en la Arquitectura de Integración Moderna
Patrones de Diseño en la Arquitectura de Integración Moderna
 
Ingenieria en software
Ingenieria en softwareIngenieria en software
Ingenieria en software
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
 
Frameworks de Desarrollo Web Grails
Frameworks de Desarrollo Web GrailsFrameworks de Desarrollo Web Grails
Frameworks de Desarrollo Web Grails
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
 
Ingeniería de software Definicion,inicion,importancia y utilidad
Ingeniería de software Definicion,inicion,importancia y utilidadIngeniería de software Definicion,inicion,importancia y utilidad
Ingeniería de software Definicion,inicion,importancia y utilidad
 
Is clase1
Is clase1Is clase1
Is clase1
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
 
Seguridad vs Software libre
Seguridad vs Software libreSeguridad vs Software libre
Seguridad vs Software libre
 
Oracle Application Framework
Oracle Application FrameworkOracle Application Framework
Oracle Application Framework
 
Is clase1
Is clase1Is clase1
Is clase1
 
Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021Curso Virtual OWASP TOP 10 2021
Curso Virtual OWASP TOP 10 2021
 
Ciclo de vida del software.pptx
Ciclo de vida del software.pptxCiclo de vida del software.pptx
Ciclo de vida del software.pptx
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers Sevilla
 
Comenzando a usar el Continuous Delivery
Comenzando a usar el Continuous Delivery Comenzando a usar el Continuous Delivery
Comenzando a usar el Continuous Delivery
 
CONDICIONES DE TRABAJO.pptx
CONDICIONES DE TRABAJO.pptxCONDICIONES DE TRABAJO.pptx
CONDICIONES DE TRABAJO.pptx
 
ISACA DevOps LATAM
ISACA DevOps LATAMISACA DevOps LATAM
ISACA DevOps LATAM
 
Software en la actualidad
Software en la actualidadSoftware en la actualidad
Software en la actualidad
 

Plus de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

Plus de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

La necesidad de construir software seguro. IBM Software Summit #Start013

  • 1. La necesidad de construir software seguro Vicente Aguilera Díaz vicente.aguilera@owasp.org OWASP Spain Chapter Leader Socio de Internet Security Auditors IBM Software Summit #START013. Madrid 06/11/2012.
  • 2. Agenda • Dependencia del software • Construcción de software seguro • OWASP • Conclusiones y recomendaciones
  • 4. Dependencia del software • Es crítico crear software seguro: • Conectividad • Complejidad • Extensibilidad • … y requerimientos normativos
  • 5. Dependencia del software • ¿Y el mundo de los dispositivos móviles?
  • 8. Construcción de software seguro • ¿Qué entendemos como software seguro? • Diseñado, construido y probado para su seguridad • Continúa ejecutándose correctamente bajo ataque • Diseñado con el fallo en mente
  • 9. Construcción de software seguro • ¿Porqué ha cobrado tanta relevancia? • Proliferación de modelos de negocio en la web • Las aplicaciones resultan muy atractivas • Auge de los dispositivo móviles • La mayoría de aplicaciones son vulnerables • Nuevos requerimientos normativos
  • 10. Construcción de software seguro • ¿Porqué ha cobrado tanta relevancia?
  • 11. Construcción de software seguro • Todo es posible en la web
  • 12. Construcción de software seguro • ¿Cómo conseguir crear software seguro? • Adoptar un modelo de madurez • La seguridad debe ser considerada desde el inicio • S-SDLC es la clave
  • 13. Construcción de software seguro • Secure SDLC es la clave • SDLC basado en principios de seguridad • No existe una fórmula única para su implementación • Implica a personas, procesos y tecnología
  • 14. Construcción de software seguro • Iniciativas de seguridad en el desarrollo de software: • Microsoft SDL • OWASP CLASP • Cigital Software Security Touchpoints • OWASP OpenSAMM • BSIMM • SSE CMM
  • 15. Construcción de software seguro • Ejemplos de actividades de seguridad: • Clasificar datos y aplicaciones según su riesgo • Desarrollar y mantener guías de cumplimiento • Realizar formación en seguridad para cada rol • Elaborar modelos de amenaza • Identificar patrones de seguridad en el diseño • Realizar revisiones de código • Realizar pruebas de seguridad en las aplicaciones • Establecer hitos para la revisión del diseño • Crear procedimientos de gestión de cambio
  • 16. OWASP
  • 17. OWASP • Comunidad libre y abierta sobre seguridad en aplicaciones • Búsqueda y lucha contra las causas de software inseguro • Creación de herramientas, documentación y estándares • Conferencias • Recursos gratuitos y de código abierto • 10.000 miembros y 250 capítulos locales en el mundo • Más de 200 proyectos • www.owasp.org
  • 18. OWASP • Principales proyectos a nivel de documentación: • Top 10 • Guía de pruebas • Guía de desarrollo • Guía de revisión de código • ASVS
  • 19. OWASP • Principales proyectos a nivel de herramientas: • ZAP • WebGoat • ESAPI • Live CD
  • 20. OWASP Define and Design Develop Deploy Maintain Security Training Security Requirements Design & Architecture Security Review Threat Model Manual Code Review Static Analysis (tools) Penetration Testing OWASP Education OWASP WebGoat OWASP HackAcademic Challenges OWASP ASDR OWASP Application Security Requirements OWASP Threat Modelling OWASP Top 10 OWASP Risk Rating Methodology OWASP LAPSE OWASP YASCA OWASP Code Review OWASP Testing Guide OWASP ZAP OWASP LiveCD OWASPOpenSAMM
  • 22. Conclusiones • Necesitamos crear software seguro • Debemos conocer todos los riesgos y cómo mitigarlos • Necesitamos invertir más en la seguridad del software • Software seguro ≠ código seguro
  • 23. Recomendaciones • Clasificar las aplicaciones y definir niveles de seguridad • Verificar la adopción de los requerimientos de seguridad • Crear el software pensando en los casos de abuso • Huir de la solución “todo en uno” • Seguir el principio de defensa en profundidad • Identificar los marcos regulatorios y su cumplimiento • Equiparar requerimientos de seguridad a los funcionales • Estar informado sobre las amenazas existentes • No despreciar soluciones open-source • Potenciar la cultura de la seguridad en la organización
  • 24. ? dudas / comentarios/ sugerencias ¡Muchas gracias!