SlideShare une entreprise Scribd logo

Calidad y Seguridad en Procesos de Desarrollo de Software

Conferencias FIST
Conferencias FIST

El documento describe la importancia de aplicar un enfoque sistémico y preventivo a la seguridad en los procesos de desarrollo de software. Actualmente, la seguridad se enfoca principalmente en pruebas de seguridad del producto final y soluciones reactivas. Sin embargo, la mayoría de vulnerabilidades se originan en etapas tempranas del desarrollo. El documento propone aplicar medidas de calidad y seguridad a lo largo de todo el ciclo de vida del desarrollo, incluyendo análisis, diseño y construcción,

Technologie
1  sur  18
Télécharger pour lire hors ligne
Grupo Open Source para la  Integración de Tecnología IN2- Ingeniería de la Información www.IN2.es Calidad y Seguridad en Procesos de  Desarrollo de Software Roger Carhuatocto roger.carhuatocto [ AT ] in2.es V1.0 - 18.Marzo.2005 GOS4i + IN2- Ingeniería de la Información – 2005
Objetivos • Reflexión sobre problema de la seguridad en las organizaciones y cómo se están  resolviendo.  • Énfasis en el Proceso de Desarrollo de Sofware (Preventivo) • Énfasis en las metodologías de aseguramiento de la calidad y seguridad en procesos  de desarrollo de software como actividad preventiva. [2] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Situación actual ­ Análisis • Inseguridad • Seguridad reactiva – Antivirus – IDS – Firewall – Honeypots, etc.. • El Testing de Seguridad es usado para identificar vulnerabilidades sobre Producto  Final. • Se soluciona los “bugs”, no el origen de ellos • ¿Dónde está el origen? [3] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Definimos la Problemática  • El Sistema de Gestión de Seguridad – Personas – Software, Hardware y otro tipo de infraestructura – Procesos de Negocio – Información • ¿Cuál es el elemento más débil? • ¿A dónde se enfocan las actuales soluciones? • Aplicar Paretto 80%­20% [4] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Replanteando el problema – Enfoque Sistémico • Busquemos el Origen del Problema de la Seguridad • Usar un nuevo enfoque. • Enfoque Sistémico del Problema de la Seguridad (Enfoque Holístico) – Considerar todos los elementos: Personas, SW, HW, Información, Red, etc. – Nos centramos en el elemento que nos interesa, el Software. Es el elemento más débil? – Análisis del Proceso de Desarrollo SW en lugar del Producto resultante – Definir acciones(seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW [5] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Enfoque Sistémico al Problema de Seguridad ­  Conclusión • Sólo estamos tomando acciones preventivas sobre el producto final (testing de  seguridad) • Estamos descuidando la seguridad en otras etapas del Desarrollo de SW • Existen elementos externos al proceso de Desarrollo de SW que se deben  considerar, ellos proporcionan ayuda en la prevención: – Sistemas de Gestión de la Calidad – Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente,  Facturación, Contabilidad, etc. – Recomendaciones y Metodologías – Herramientas y Técnicas • Bugtracking • CVS • Wiki • Nmap, Nessus, etc…. • Testing tools, etc… [6] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Campos de Acción de QA y Security Desarrollo de Software y Seguridad Aplicaciones Preventiva Sistem as de Gestión Seguridad Lógica Procesos Negocio Networking, Seguridad Sistem as e Infraestructura Reactiva [7] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Revisión del Ciclo de vida del Software Análisis Diseño Construcción Transición •Se define el “Cómo?” •Construcción, integración y testing •A producción •Se define el “Qué?” •Objetivos: •Interativo •La seguridad aparece •Qué aporta Seg. a Negocio? •Prototipeo •Plan Operativo •Diseño de Sistema •Monitorización •Herramientas:  •Diseño de Objetos •Respuesta a incidentes •Requerimientos •Analisis Func y No­Func. •Diseño de Componentes •Casos de Uso •Herramientas:  •CRC Cards:  •Class, Responsibility, Collaboration •Diagrama de Secuencias y Clases •Definición Servicios Comunes: •Logging, Security, Exception, Etc. •Modelamiento de Amenazas por Casos de Uso •Patrones de Diseño Funcional •Patrones de Diseño de Seguridad (por Amenazas) •Input Validator Pattern •Aspect Oriented Programming •Exception Manager Pattern •Secure Logger Pattern [8] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Ciclo de vida de los IDS (es reactivo!) Vulnerability Attack Integrate Pentest Exploit detection pattern in IDS The learning process = Four days (aprox.) [9] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Evolución de la Gestión de la Calidad  Inspección • Separación, después de la producción, de los productos  defectuosos de los no defectuosos. P • Buscar la ausencia de defectos. • Auditoria final, reuniones para solucionar defectos. Control de Proceso • Anticipación dentro de los procesos de desarrollo. P • No se espera al final de la cadena de producción. • Se introduce el concepto de proceso. Gestión Integral de la Calidad • la Calidad debe abarcar a todas las áreas de las empresa que  intervienen en la realización del producto. P Calidad Total • Forma de gestión de una organización centrada en la calidad  basada en la participación de todos sus miembros y que  apunta al éxito a largo plazo por medio de la satisfacción del  cliente y a proporcionar beneficios para todos los miembros de  P la organización y para la sociedad. [10] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Técnicas más usadas para explotar vulnerabilidades [11] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Origen de las Vulnerabilidades por Aplicación [12] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Predicciones en Software Security [13] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Origen de Defectos en SW – No es código!! [14] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
ROI en Security Software [15] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Metodologías y Estándares • De Seguridad – http://www.fistconference.org/data/presentaciones/estandaresymetodologiasdeseguridad.pdf  – Conferencias FIST, Nov. 2003 – Vicente Aceituno • Generales – Anexo­Estandares­QA­SEC_RCARHUATOCTO­v1.pdf [16] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Conclusiones Finales • Enfoque Sistémico (Holísitico) • Aplicable a todo el proceso de desarrollo de SW,  incluye a la etapa de toma de requerimientos • Usar Metodologías y Estándares de propósito  general y de seguridad [17] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Referencias Alan Cox on writ ing bett er sof t ware By Basheera Khan - Thursday, 07 Oct ober 2004 ht t p:/ / www.pingwales.co.uk/ sof t ware/ cox - on- bet t er- sof t ware.ht m l Dire St raits The evolution of sof t ware opens new vist as for business... and t he bad guys. April 2004, By GARY MCGRAW & GREG HOGLUND ht t p:/ / infosecurit ym ag.techt arget .com/ ss/ 0,295796,sid6_iss366_art 684,00.htm l Int roduct ion t o Sof t ware Securit y Dat e: Nov 2, 2001 By Gary McGraw, John Viega. ht t p:/ / www.awprof essional.com / articles/ print erf riendly.asp?p= 23950 Cent ro de Desarrollo Microsof t Seguridad ht t p:/ / www.m icrosoft .com / spanish/ m sdn/ centro_recursos/ securit y/ def ault .asp [18] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

Recommandé

Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
Mateo Martinez
 
Unidad 3 aseguramiento de la calidad de los
Unidad 3 aseguramiento de la calidad de losUnidad 3 aseguramiento de la calidad de los
Unidad 3 aseguramiento de la calidad de los
pabloreyes154
 
Planificacion De Proyectos de SW
Planificacion De Proyectos de SWPlanificacion De Proyectos de SW
Planificacion De Proyectos de SW
Jesus Daniel Rodriguez Oyola
 
Estrategias de prueba de software
Estrategias de prueba de softwareEstrategias de prueba de software
Estrategias de prueba de software
jtapiac
 
Mapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de SoftwareMapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de Software
Karloz Dz
 
ingenieria del software
ingenieria del softwareingenieria del software
ingenieria del software
Evelio Hipuchima
 
3. conceptos de calidad del software
3. conceptos de calidad del software3. conceptos de calidad del software
3. conceptos de calidad del software
Juan Pablo Carvallo
 
Pmo informatica plantilla de plan de pruebas de software
Pmo informatica plantilla de plan de pruebas de softwarePmo informatica plantilla de plan de pruebas de software
Pmo informatica plantilla de plan de pruebas de software
Carina Lifschitz
 

Recommandé

Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
Mateo Martinez
 
Unidad 3 aseguramiento de la calidad de los
Unidad 3 aseguramiento de la calidad de losUnidad 3 aseguramiento de la calidad de los
Unidad 3 aseguramiento de la calidad de los
pabloreyes154
 
Planificacion De Proyectos de SW
Planificacion De Proyectos de SWPlanificacion De Proyectos de SW
Planificacion De Proyectos de SW
Jesus Daniel Rodriguez Oyola
 
Estrategias de prueba de software
Estrategias de prueba de softwareEstrategias de prueba de software
Estrategias de prueba de software
jtapiac
 
Mapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de SoftwareMapa conceptual - Institutos Reguladores Calidad de Software
Mapa conceptual - Institutos Reguladores Calidad de Software
Karloz Dz
 
ingenieria del software
ingenieria del softwareingenieria del software
ingenieria del software
Evelio Hipuchima
 
3. conceptos de calidad del software
3. conceptos de calidad del software3. conceptos de calidad del software
3. conceptos de calidad del software
Juan Pablo Carvallo
 
Pmo informatica plantilla de plan de pruebas de software
Pmo informatica plantilla de plan de pruebas de softwarePmo informatica plantilla de plan de pruebas de software
Pmo informatica plantilla de plan de pruebas de software
Carina Lifschitz
 
Mapa mental del CMMI
Mapa mental del CMMIMapa mental del CMMI
Mapa mental del CMMI
Charly MicroCode
 
Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de Vulnerabilidades
Meztli Valeriano Orozco
 
Norma ISO/IEC 9126 y Métrica de Calidad del Software
Norma ISO/IEC 9126 y Métrica de Calidad del Software Norma ISO/IEC 9126 y Métrica de Calidad del Software
Norma ISO/IEC 9126 y Métrica de Calidad del Software
ehe ml
 
Pruebas del Software
Pruebas del SoftwarePruebas del Software
Pruebas del Software
Juan Pablo Bustos Thames
 
Introducción a las Pruebas Software
Introducción a las Pruebas SoftwareIntroducción a las Pruebas Software
Introducción a las Pruebas Software
Micael Gallego
 
Modelo TSP
Modelo TSPModelo TSP
Modelo TSP
Ivan Vidal
 
Calidad Del Producto Software
Calidad Del Producto SoftwareCalidad Del Producto Software
Calidad Del Producto Software
albert317
 
Linea de Produccion de Software y Metodo Watch
Linea de Produccion de Software y Metodo WatchLinea de Produccion de Software y Metodo Watch
Linea de Produccion de Software y Metodo Watch
Edisson Acosta
 
Analisis y especificacion de requerimientos
Analisis y especificacion de requerimientosAnalisis y especificacion de requerimientos
Analisis y especificacion de requerimientos
UPTP
 
Software Testing - Software Quality
Software Testing - Software QualitySoftware Testing - Software Quality
Software Testing - Software Quality
Ajeng Savitri
 
tecnicas de revisión del software
tecnicas de revisión del softwaretecnicas de revisión del software
tecnicas de revisión del software
MARCO POLO SILVA SEGOVIA
 
Pruebas De Software
Pruebas De SoftwarePruebas De Software
Pruebas De Software
Ricardo Mansilla
 
Uso de ISO 9001 2015 para desarrollo de software con agilidad
Uso de ISO 9001 2015 para desarrollo de software con agilidadUso de ISO 9001 2015 para desarrollo de software con agilidad
Uso de ISO 9001 2015 para desarrollo de software con agilidad
Alvaro Ruiz de Mendarozqueta
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUS
seguridadelinux
 
Tipos de pruebas de software
Tipos de pruebas de softwareTipos de pruebas de software
Tipos de pruebas de software
Guillermo Lemus
 
Normas ISO 9126 - 25000
Normas ISO 9126 - 25000Normas ISO 9126 - 25000
Normas ISO 9126 - 25000
Loreto Arriagada
 
Diseño caso de pruebas
Diseño caso de pruebasDiseño caso de pruebas
Diseño caso de pruebas
Rocio Camargo Villa
 
Estrategias prueba de software
Estrategias prueba de softwareEstrategias prueba de software
Estrategias prueba de software
Centro Líbano
 
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQAASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
pabloreyes154
 
Control de Calidad del Software
Control de Calidad del SoftwareControl de Calidad del Software
Control de Calidad del Software
Intellimedia
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLC
Roger CARHUATOCTO
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
Roger CARHUATOCTO
 

Contenu connexe

Tendances

Tendances (20)

Mapa mental del CMMI
Mapa mental del CMMIMapa mental del CMMI
Mapa mental del CMMI
 
Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de Vulnerabilidades
 
Norma ISO/IEC 9126 y Métrica de Calidad del Software
Norma ISO/IEC 9126 y Métrica de Calidad del Software Norma ISO/IEC 9126 y Métrica de Calidad del Software
Norma ISO/IEC 9126 y Métrica de Calidad del Software
 
Pruebas del Software
Pruebas del SoftwarePruebas del Software
Pruebas del Software
 
Introducción a las Pruebas Software
Introducción a las Pruebas SoftwareIntroducción a las Pruebas Software
Introducción a las Pruebas Software
 
Modelo TSP
Modelo TSPModelo TSP
Modelo TSP
 
Calidad Del Producto Software
Calidad Del Producto SoftwareCalidad Del Producto Software
Calidad Del Producto Software
 
Linea de Produccion de Software y Metodo Watch
Linea de Produccion de Software y Metodo WatchLinea de Produccion de Software y Metodo Watch
Linea de Produccion de Software y Metodo Watch
 
Analisis y especificacion de requerimientos
Analisis y especificacion de requerimientosAnalisis y especificacion de requerimientos
Analisis y especificacion de requerimientos
 
Software Testing - Software Quality
Software Testing - Software QualitySoftware Testing - Software Quality
Software Testing - Software Quality
 
tecnicas de revisión del software
tecnicas de revisión del softwaretecnicas de revisión del software
tecnicas de revisión del software
 
Pruebas De Software
Pruebas De SoftwarePruebas De Software
Pruebas De Software
 
Uso de ISO 9001 2015 para desarrollo de software con agilidad
Uso de ISO 9001 2015 para desarrollo de software con agilidadUso de ISO 9001 2015 para desarrollo de software con agilidad
Uso de ISO 9001 2015 para desarrollo de software con agilidad
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUS
 
Tipos de pruebas de software
Tipos de pruebas de softwareTipos de pruebas de software
Tipos de pruebas de software
 
Normas ISO 9126 - 25000
Normas ISO 9126 - 25000Normas ISO 9126 - 25000
Normas ISO 9126 - 25000
 
Diseño caso de pruebas
Diseño caso de pruebasDiseño caso de pruebas
Diseño caso de pruebas
 
Estrategias prueba de software
Estrategias prueba de softwareEstrategias prueba de software
Estrategias prueba de software
 
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQAASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
 
Control de Calidad del Software
Control de Calidad del SoftwareControl de Calidad del Software
Control de Calidad del Software
 

Similaire à Calidad y Seguridad en Procesos de Desarrollo de Software

Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Ramiro Carballo
 
Security in off-shore Application Development
Security in off-shore Application DevelopmentSecurity in off-shore Application Development
Security in off-shore Application Development
Conferencias FIST
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Optimyth Software
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
Internet Security Auditors
 

Similaire à Calidad y Seguridad en Procesos de Desarrollo de Software (20)

QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLC
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Security in off-shore Application Development
Security in off-shore Application DevelopmentSecurity in off-shore Application Development
Security in off-shore Application Development
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
 
QA and Security in Development Process
QA and Security in Development ProcessQA and Security in Development Process
QA and Security in Development Process
 
Expo
ExpoExpo
Expo
 
fundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaarefundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaare
 
SEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICA
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguro
 
Desarrollando software de calidad
Desarrollando software de calidadDesarrollando software de calidad
Desarrollando software de calidad
 
S1-CDSQA.pptx
S1-CDSQA.pptxS1-CDSQA.pptx
S1-CDSQA.pptx
 
Metodología Ágil
Metodología ÁgilMetodología Ágil
Metodología Ágil
 
Unidad i introduccion_isbuap2020
Unidad i introduccion_isbuap2020Unidad i introduccion_isbuap2020
Unidad i introduccion_isbuap2020
 
Seguridad
SeguridadSeguridad
Seguridad
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
Auditoría Informática
Auditoría InformáticaAuditoría Informática
Auditoría Informática
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling Tool
 

Plus de Conferencias FIST

Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
Conferencias FIST
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
Conferencias FIST
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
Conferencias FIST
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
Conferencias FIST
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
Conferencias FIST
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
Conferencias FIST
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
Conferencias FIST
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis Forense
Conferencias FIST
 

Plus de Conferencias FIST (20)

Seguridad en Open Solaris
Seguridad en Open SolarisSeguridad en Open Solaris
Seguridad en Open Solaris
 
Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet Project
 
Seguridad en Windows Mobile
Seguridad en Windows MobileSeguridad en Windows Mobile
Seguridad en Windows Mobile
 
SAP Security
SAP SecuritySAP Security
SAP Security
 
Que es Seguridad
Que es SeguridadQue es Seguridad
Que es Seguridad
 
Network Access Protection
Network Access ProtectionNetwork Access Protection
Network Access Protection
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
 
Criptografia Cuántica
Criptografia CuánticaCriptografia Cuántica
Criptografia Cuántica
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
 
Security Metrics
Security MetricsSecurity Metrics
Security Metrics
 
PKI Interoperability
PKI InteroperabilityPKI Interoperability
PKI Interoperability
 
Wifislax 3.1
Wifislax 3.1Wifislax 3.1
Wifislax 3.1
 
Network Forensics
Network ForensicsNetwork Forensics
Network Forensics
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis Forense
 
Security Maturity Model
Security Maturity ModelSecurity Maturity Model
Security Maturity Model
 

Dernier

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 

Dernier (11)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 

Calidad y Seguridad en Procesos de Desarrollo de Software

  • 1. Grupo Open Source para la  Integración de Tecnología IN2- Ingeniería de la Información www.IN2.es Calidad y Seguridad en Procesos de  Desarrollo de Software Roger Carhuatocto roger.carhuatocto [ AT ] in2.es V1.0 - 18.Marzo.2005 GOS4i + IN2- Ingeniería de la Información – 2005
  • 2. Objetivos • Reflexión sobre problema de la seguridad en las organizaciones y cómo se están  resolviendo.  • Énfasis en el Proceso de Desarrollo de Sofware (Preventivo) • Énfasis en las metodologías de aseguramiento de la calidad y seguridad en procesos  de desarrollo de software como actividad preventiva. [2] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 3. Situación actual ­ Análisis • Inseguridad • Seguridad reactiva – Antivirus – IDS – Firewall – Honeypots, etc.. • El Testing de Seguridad es usado para identificar vulnerabilidades sobre Producto  Final. • Se soluciona los “bugs”, no el origen de ellos • ¿Dónde está el origen? [3] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 4. Definimos la Problemática  • El Sistema de Gestión de Seguridad – Personas – Software, Hardware y otro tipo de infraestructura – Procesos de Negocio – Información • ¿Cuál es el elemento más débil? • ¿A dónde se enfocan las actuales soluciones? • Aplicar Paretto 80%­20% [4] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 5. Replanteando el problema – Enfoque Sistémico • Busquemos el Origen del Problema de la Seguridad • Usar un nuevo enfoque. • Enfoque Sistémico del Problema de la Seguridad (Enfoque Holístico) – Considerar todos los elementos: Personas, SW, HW, Información, Red, etc. – Nos centramos en el elemento que nos interesa, el Software. Es el elemento más débil? – Análisis del Proceso de Desarrollo SW en lugar del Producto resultante – Definir acciones(seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW [5] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 6. Enfoque Sistémico al Problema de Seguridad ­  Conclusión • Sólo estamos tomando acciones preventivas sobre el producto final (testing de  seguridad) • Estamos descuidando la seguridad en otras etapas del Desarrollo de SW • Existen elementos externos al proceso de Desarrollo de SW que se deben  considerar, ellos proporcionan ayuda en la prevención: – Sistemas de Gestión de la Calidad – Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente,  Facturación, Contabilidad, etc. – Recomendaciones y Metodologías – Herramientas y Técnicas • Bugtracking • CVS • Wiki • Nmap, Nessus, etc…. • Testing tools, etc… [6] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 7. Campos de Acción de QA y Security Desarrollo de Software y Seguridad Aplicaciones Preventiva Sistem as de Gestión Seguridad Lógica Procesos Negocio Networking, Seguridad Sistem as e Infraestructura Reactiva [7] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 8. Revisión del Ciclo de vida del Software Análisis Diseño Construcción Transición •Se define el “Cómo?” •Construcción, integración y testing •A producción •Se define el “Qué?” •Objetivos: •Interativo •La seguridad aparece •Qué aporta Seg. a Negocio? •Prototipeo •Plan Operativo •Diseño de Sistema •Monitorización •Herramientas:  •Diseño de Objetos •Respuesta a incidentes •Requerimientos •Analisis Func y No­Func. •Diseño de Componentes •Casos de Uso •Herramientas:  •CRC Cards:  •Class, Responsibility, Collaboration •Diagrama de Secuencias y Clases •Definición Servicios Comunes: •Logging, Security, Exception, Etc. •Modelamiento de Amenazas por Casos de Uso •Patrones de Diseño Funcional •Patrones de Diseño de Seguridad (por Amenazas) •Input Validator Pattern •Aspect Oriented Programming •Exception Manager Pattern •Secure Logger Pattern [8] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 9. Ciclo de vida de los IDS (es reactivo!) Vulnerability Attack Integrate Pentest Exploit detection pattern in IDS The learning process = Four days (aprox.) [9] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 10. Evolución de la Gestión de la Calidad  Inspección • Separación, después de la producción, de los productos  defectuosos de los no defectuosos. P • Buscar la ausencia de defectos. • Auditoria final, reuniones para solucionar defectos. Control de Proceso • Anticipación dentro de los procesos de desarrollo. P • No se espera al final de la cadena de producción. • Se introduce el concepto de proceso. Gestión Integral de la Calidad • la Calidad debe abarcar a todas las áreas de las empresa que  intervienen en la realización del producto. P Calidad Total • Forma de gestión de una organización centrada en la calidad  basada en la participación de todos sus miembros y que  apunta al éxito a largo plazo por medio de la satisfacción del  cliente y a proporcionar beneficios para todos los miembros de  P la organización y para la sociedad. [10] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 11. Técnicas más usadas para explotar vulnerabilidades [11] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 12. Origen de las Vulnerabilidades por Aplicación [12] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 13. Predicciones en Software Security [13] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 14. Origen de Defectos en SW – No es código!! [14] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 15. ROI en Security Software [15] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 16. Metodologías y Estándares • De Seguridad – http://www.fistconference.org/data/presentaciones/estandaresymetodologiasdeseguridad.pdf  – Conferencias FIST, Nov. 2003 – Vicente Aceituno • Generales – Anexo­Estandares­QA­SEC_RCARHUATOCTO­v1.pdf [16] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 17. Conclusiones Finales • Enfoque Sistémico (Holísitico) • Aplicable a todo el proceso de desarrollo de SW,  incluye a la etapa de toma de requerimientos • Usar Metodologías y Estándares de propósito  general y de seguridad [17] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 18. Referencias Alan Cox on writ ing bett er sof t ware By Basheera Khan - Thursday, 07 Oct ober 2004 ht t p:/ / www.pingwales.co.uk/ sof t ware/ cox - on- bet t er- sof t ware.ht m l Dire St raits The evolution of sof t ware opens new vist as for business... and t he bad guys. April 2004, By GARY MCGRAW & GREG HOGLUND ht t p:/ / infosecurit ym ag.techt arget .com/ ss/ 0,295796,sid6_iss366_art 684,00.htm l Int roduct ion t o Sof t ware Securit y Dat e: Nov 2, 2001 By Gary McGraw, John Viega. ht t p:/ / www.awprof essional.com / articles/ print erf riendly.asp?p= 23950 Cent ro de Desarrollo Microsof t Seguridad ht t p:/ / www.m icrosoft .com / spanish/ m sdn/ centro_recursos/ securit y/ def ault .asp [18] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software