SlideShare une entreprise Scribd logo

Modelos de desarrollo seguro de software

Facultad de Informática UCM
Facultad de Informática UCM

La poca importancia que tradicionalmente se da a la seguridad hace que todas las tareas relacionadas con pruebas de seguridad se releguen a las fases finales del desarrollo del software. Precisamente una gran parte de las vulnerabilidades podrían solucionarse considerando un ciclo de vida del software seguro, donde la seguridad se integre plenamente en todo el proceso de ingeniería del software. Así podrían corregirse errores en los procesos de análisis, diseño y desarrollo de software, evitando que se transformen en errores de implementación en el producto final y, por ende, en vulnerabilidades. Nuestras investigaciones se centran en proponer una metodología propia de desarrollo seguro, adaptada a una Factoría de Software actual (ViewNext en nuestro caso). Para ello, se ha realizado un análisis de metodologías enfocadas al desarrollo de software seguro, identificando las actividades de seguridad fundamentales para cualquier proceso de construcción de software seguro. Junto a estas actividades, se incorporan otras actividades necesarias, conformando así la metodología propia.

Ingénierie
1  sur  40
Télécharger pour lire hors ligne
MODELOS DE DESARROLLO SEGURO DE SOFTWARE Andrés Caro 1
$whoami Andrés Caro 2 • Profesor Titular de Universidad – Universidad de Extremadura • Área Lenguajes y Sistemas Informáticos • Doctor e Ingeniero en Informática • Director Cátedra ViewNext-UEx Seguridad y Auditoría de Sistemas Software • Grados de Ingeniería en Informática • Ingeniería de Computadores • Ingeniería del Software • Máster en Ingeniería Informática • Organización de cursos / jornadas • I Foro CIBER (noviembre 2016) • Curso Experto Profesional Derecho Tecnológico e Informática Forense • Hacking ético – Seguridad informática • LOPD – ENS • Peritaje – Informática forense • Cibercooperante @_AndresCaro_ andresc@unex.es 2
Por qué un modelo de desarrollo seguro (S-SDLC) Necesidad: Ataques cibernéticos y coste de solucionar fallos 3 Multitud de ataques cibernéticos con graves consecuencias Fuente: http://map.norsecorp.com 3
Por qué un modelo de desarrollo seguro (S-SDLC) Necesidad: Ataques cibernéticos y coste de solucionar fallos 4 Coste de solucionar vulnerabilidades Fuente: Instituto Nacional de Estándares y Tecnología (NIST) Incremento del +40% de los ciberataques en España Fuente: (CCN-CERT) 4
Por qué un modelo de desarrollo seguro (S-SDLC) Necesidad: Ataques cibernéticos y coste de solucionar fallos 5 60 % de los ciberataques se cometen desde dentro (datos mundiales) Fuente: IBM Security Summit 2016 Fuente: IBM Security Summit 2016 5
Por qué un modelo de desarrollo seguro (S-SDLC) Causas: Falta de seguridad desde el inicio de los proyectos 6 Falta de integración de seguridad en los procesos de desarrollo Aplicar la seguridad en fases finales y más complejas de los proyectos Pérdidas económicas Pérdidas temporales Pérdida de clientes Confianza - Credibilidad Consecuencias: altos costes, retrasos y reputación empresarial 6
Por qué un modelo de desarrollo seguro (S-SDLC) Necesidad: Generar una conciencia y cultura de la seguridad en las áreas implicadas en el ciclo de vida de un sistema 7 Fuente: IBM Security Summit 2016 7
Por qué un modelo de desarrollo seguro (S-SDLC) Necesidad: Generar una conciencia y cultura de la seguridad en las áreas implicadas en el ciclo de vida de un sistema 8 DELIVERY • AS-SDLC (Agile Secure – SDLC) • SAST – Static Application Security Testing • Automatización test QA & TESTING • DAST – Dynamic Application Security Testing • Pen-Testing ITS A&I CENTRO DE COMPETENCIA EN SEGURIDAD 8
Por qué un modelo de desarrollo seguro (S-SDLC) Análisis cuantitativo 9 Reducción número de vulnerabilidades y criticidad: • Alrededor de un 40-50 % de reducción en el número de vulnerabilidades tras la implantación de un S-SDLC en el primer año (un 75-80 % sobre vulnerabilidades críticas). • Una reducción de un 50 % en el número de vulnerabilidades implica una reducción de un 75% en los costes de gestión de la configuración y respuesta a incidentes. 75 % de las vulnerabilidades están relacionadas con las aplicaciones * Haciendo una equiparación del tamaño de los módulos Fuente: Microsoft Security Blog & Microsoft Technet Security Blog Fuente: Piloto implantación proyecto EOSA 9
Por qué un modelo de desarrollo seguro (S-SDLC) Análisis cuantitativo 10 Reducción de costes de resolución de defectos: • Alrededor de un 30 % de reducción en el coste de solucionar defectos y vulnerabilidades en una fase temprana del ciclo de desarrollo frente a realizar en la fase de pre-producción (post-release). • Además se incluirían costes adicionales por pérdida de productividad y confianza por parte del cliente o usuario final. • Un S-SDLC se ocupa desde el principio y sistemáticamente de las actividades relativas a la seguridad del software durante todo el ciclo de desarrollo, de manera que las vulnerabilidades y su corrección se lleven a cabo en fases incluso previas a la fase de desarrollo, reduciendo sensiblemente los costes globales del desarrollo.. 75 % de las vulnerabilidades están relacionadas con las aplicaciones Fuente: National Institute of Standards and Technology (NIST) Fuente: Piloto implantación proyecto EOSA * Haciendo una equiparación del tamaño de los módulos 10
Por qué un modelo de desarrollo seguro (S-SDLC) Solución: Análisis de Metodologías y estándares de seguridad 11 Analizar modelos y detectar actividades recurrentes y fundamentales Metodologías de Desarrollo de Software Seguro 11
Por qué un modelo de desarrollo seguro (S-SDLC) Solución: Análisis de Metodologías y estándares de seguridad 12 Metodologías de Desarrollo de Software Seguro 12
Por qué un modelo de desarrollo seguro (S-SDLC) Metodologías de Desarrollo de Software Seguro por Defecto 13 Flexibilidad de aplicación empresarial • 4 Funciones de Negocio • 12 Actividades de Seguridad Directiva obligatoria en Microsoft desde 2004: • Más popular y utilizado. • Abundante documentación de los procesos. 13
Actividades de Seguridad Identificadas 14 Aproximaciones a un S-SDLC • ESTRATEGIA Y ORIENTACIÓN (Top 10 OWASP, CERT, CWE) • FORMACIÓN EN SEGURIDAD de los grupos implicados en el desarrollo. • Identificación y DEFINICIÓN DE RIESGOS de negocio del cliente. • Obtención y validación de los REQUISITOS DE SEGURIDAD. • Análisis y MODELADO DE AMENAZAS que proteja la superficie de ataques. • REVISIÓN DEL DISEÑO. • REVISIÓN DEL CÓDIGO. • TESTING DE SEGURIDAD. • VALIDACIÓN DE SALIDAS garantizando la seguridad del código liberado. • EVALUACIÓN Y MÉTRICAS confirmando el seguimiento de la seguridad. • Implantación de un PLAN DE RESPUESTA A INCIDENTES. Repositorio de vulnerabilidades y gestión del conocimiento Estado del proyecto Observatorio de Seguridad Preventivo Reactivo Nuevas Actividades Propuestas: Carencias detectadas de otros modelos. 14
Metamodelo de desarrollo seguro Viewnext (S-SDLC) Estructura: Áreas de desarrollo. 15 Políticas Metodología SDL Supervisión Observatorio Divididas en 4 Áreas de Desarrollo: • Definición de objetivos y directrices globales y sectoriales. • Implicación de todos los grupos. Formación. • Conocimiento de los riesgos. • Construcción de software seguro por defecto: • Requisitos, Modelado de amenazas. Diseño seguro. Análisis de código. Testing de seguridad. • Evaluación continua. • Cumplimiento de seguridad. • Conocimiento instantáneo del estado. • Nuevos tipos de ataques y vulnerabilidades. • Aprendizaje continuo. • Convertir medidas reactivas en preventivas. 15
Modelo de desarrollo seguro Viewnext (S-SDLC) Estructura Metamodelo: Actividades de seguridad 16 ÁREAS DE DESARROLLO ACTIVIDADES DE SEGURIDAD 16
Modelo de desarrollo seguro Viewnext (S-SDLC) Conexión Metamodelo: Actividades de seguridad 17 Políticas Metodología Supervisión Observatorio17
Modelo de desarrollo seguro Viewnext (S-SDLC) Metodología SDL: Actividades 18
Modelo de desarrollo seguro Viewnext (S-SDLC) Evaluación inicial del nivel de seguridad Proyectos con nuevos desarrollos Proyectos en mantenimiento 19
Modelo de desarrollo seguro Viewnext (S-SDLC) Niveles de Seguridad: Estándar, Moderado y Crítico. 20 20 Estándar Moderado Crítico Comprensión inicial y disposición específica para adoptar las actividades. Incremento de la eficacia y eficiencia de las actividades Realización sofisticada de las actividades acordes a un marco regulatorio específico. Validación Nivel SimbologíaDescripción 20
Modelo de desarrollo seguro Viewnext (S-SDLC) Adaptaciones del modelo global Viewnext. TIPO DE PROYECTO METODOLOGÍA FASES AMS ÁGIL DISEÑO TÉCNICO -> FIN DESARROLLO 0 TRADICIONAL ANÁLISIS FUNCIONAL->FIN Tipología 1 • DESARROLLO 0 • SCRUM • ANÁLISIS -> FIN Metamodelo – Modelo Teórico base Tipología 2 • AMS/DESARROLLO 0 • TRADICIONAL • DISEÑO TÉCNICO-> FIN Tipología 3 • DESARROLLO 0 • SCRUM • DISEÑO TÉCNICO-> FIN 21
Modelo de desarrollo seguro Viewnext (S-SDLC) 22 El modelo de ciclo de vida desarrollo seguro para ADM-DW está basado en el modelo de desarrollo seguro corporativo de Viewnext, que establece 4 áreas de aplicación y 14 actividades relacionadas con la definición de un modelo preventivo, integrado e integral. Modelo Desarrollo Seguro Viewnext Modelo Adaptación Ciclo de Vida Aplicación del Modelo Memoria de Aplicación •4 áreas/14 actividades •2 modelos de implantación (nuevos desarrollos / mantenimientos) •AS-SDLC (Agile Secure – Software Development Life Cycle) •WS-SDLC (Waterfall Secure – Software Development Life Cycle) •Categorización del ciclo de vida del proyecto •Particularización y contextualización del modelo adaptado adecuado •Bitácora de aplicación •Métricas e indicadores •Lecciones aprendidas •Conclusiones y siguientes pasos
¿Cómo se implanta el S-SDLC en mi proyecto? 23 Metodología: 4 Fases de implantación 2016 Formación y Definición de indicadores de seguridad Evaluación inicial de seguridad Medición del coste de solucionar fallos Integración Modelo de Desarrollo Seguro Aplicación metodología SDL Medición coste metodología SDL Optimización del Modelo de Desarrollo Seguro Contrastar nivel de seguridad FORMACIÓN Y PREPARACIÓN DEL ECOSISTEMA EVALUACIÓN DE LA SEGURIDAD INTEGRACIÓN DEL MODELO SDLC RETROSPECTIVA Y MEJORA CONTINUA Preparación de herramientas Formación de la población Equipo de Calidad y Pruebas Requisitos | Modelado de amenazas | Buenas prácticas Cuestionario de implantación
¿Cómo se implanta el S-SDLC en mi proyecto? 24 Metodología: Fases en las que más interviene ADM DW. RETROSPECTIVA Y MEJORA CONTINUA Riesgo de Exposición | Nivel de Riesgo | Análisis y resolución de vulnerabilidades | Nivel de inversión FORMACIÓN Y PREPARACIÓN DEL ECOSISTEMA FORMACIÓN (EQUIPO COMPLETO) Analista de Negocio Diseñador Desarrollador ECOSISTEMA DE SEGURIDAD RTC INTEGRACIÓN DEL MODELO SDLC Requisitos -> Amenazas -> Prácticas seguras de codificación Definición exhaustiva de: – Tipos de usuario y sus privilegios. – Ciclo de vida de los privilegios. – Principio del mínimo privilegio. – Fallar seguro ante escalada de privilegios.
¿Cómo se implanta el S-SDLC en mi proyecto? 25 Metodología: Trazabilidad de Requisitos – Amenazas – Buenas prácticas. ¿Qué tipo de aplicativo es? • Aplicación Web. • Web Service. • Aplicación móvil. ¿El sitio web requiere autenticación? • Si. o Registro del estado de las operaciones de autenticación. • No, existe funcionalidad para perfiles públicos. ¿Cómo se autentica el usuario? • Usuario y contraseña o Login de sesión y criterios de contraseña segura. • Doble factor de autenticación. • Certificado Digital. • Sin autenticar. ¿Se almacenan los estados de las peticiones de autenticación en un Log? • Se almacenan sólo los intentos fallidos para su posterior análisis. ¿Existe una política de directiva de grupos - GPO (Group Policy Object)? • Cumplir criterios de contraseña segura. • Temporalidad (cambiar contraseñas cada dos meses.) • Imposibilidad de repetir la misma contraseña. Responder un cuestionario básico Identificar temas de seguridad MODELADO DE AMENAZAS IDENTIFICACIÓN DE: • ACTIVOS. • ENTIDADES EXTERNAS. • PUNTOS DE ENTRADA.
Resultado final Comparativa de costes VS nivel de seguridad Coste corrección de vulnerabilidades Coste de seguridad global Coste por fase sin aplicar seguridad Coste por fase con seguridad 0 5 10 15 20 A D C T Post-P 0 5 10 15 20 A D C T SEG. 0 5 10 15 20 A D C T Post-P 0 5 10 15 20 A D C T Post-P PROYECTO SIN SEGURIDAD PROYECTO CON MODELO SDLC 26
Implantación Modelo de Desarrollo Seguro en Viewnext Proyecto Piloto EOSA: Contexto Nuevos Desarrollos con intervención desde la fase de toma de requisitos y análisis funcional. Metodología ágil SCRUM (ciclos de liberación frecuentes).  Tipología 1 • DESARROLLO 0 • SCRUM • ANÁLISIS -> FIN Equipo Multifuncional 73% 27% 27% Temporalidad módulo desarrollados ALMACENES - 1997h PERSONAL - 747h
Implantación Modelo de Desarrollo Seguro en Viewnext 28 EOSA: Fase 2 - Auditoria y resolución de fallos de seguridad - ALMACENES Proyectos en mantenimiento Detectar fallos de seguridad 0 5 10 15 20 Coste resolver las vulnerabilidadesAplicar testing de seguridad y revisión de código
Implantación Modelo de Desarrollo Seguro en Viewnext 29 EOSA: Fase 2 - Auditoria y resolución de fallos de seguridad - ALMACENES Auditoria y resolución de fallos de seguridad (horas/fase) 0 200 400 600 800 1000 1200 Gestión Análisis y Diseño Construcción Testing Incidencias 98,85 494,25 1186,2 197,7 187,561 CENTRO DE CALIDAD Y PRUEBAS
Implantación Modelo de Desarrollo Seguro en Viewnext EOSA: Fase 2 - Auditoria y resolución de fallos de seguridad Tipos y categorías de vulnerabilidades 25 vulnerabilidades DAST
Implantación Modelo de Desarrollo Seguro en Viewnext 31 EOSA: Fase 2 - Auditoria y resolución de fallos de seguridad Riesgo de vulnerabilidades por módulo
Implantación Modelo de Desarrollo Seguro en Viewnext 32 EOSA: Fase 3 - Implantación de actividades y coste - PERSONAL Implantación en nuevos desarrollos Incremento de coste en cada fase Coste por fase de aplicar seguridadAplicar la seguridad en todo el proceso de construcción del software 0 5 10 15 20
Implantación Modelo de Desarrollo Seguro en Viewnext 33 EOSA: Fase 3 - Implantación de actividades y coste - PERSONAL Implantación del modelo en nuevos desarrollos e incremento de coste por cada fase 0 50 100 150 200 250 300 350 400 450 Gestión Análisis y Diseño Construcción Testing Incidencias 49 215 383 54 1 27,5 21 8 10 63 CENTRO DE CALIDAD Y PRUEBAS
Implantación Modelo de Desarrollo Seguro en Viewnext 34 Proyecto Piloto EOSA: Fase 3 - Implantación de actividades y coste ALMACENES PERSONAL Resto Seguridad FASE Seguridad Resto 99 13 GESTIÓN 1 49 494 6,5 ANÁLISIS Y DISEÑO 27,5 215,5 1186 87 DESARROLLO 21 383 198 10 TESTING 8 54 71 INCIDENCIAS 10 61 AUDITORIAS 63
Implantación Modelo de Desarrollo Seguro en Viewnext 35 Proyecto Piloto EOSA: Fase 4 - Comparativa de costes y nivel de seguridad Coste corrección de vulnerabilidades Coste de seguridad global Coste por fase sin aplicar seguridad Coste por fase con seguridad 0 5 10 15 20 A D C T Post-P 0 5 10 15 20 A D C T SEG. 0 5 10 15 20 A D C T Post-P 0 5 10 15 20 A D C T Post-P
Implantación Modelo de Desarrollo Seguro en Viewnext 36 Proyecto Piloto EOSA: Fase 4 - Comparativa de costes y nivel de seguridad Coste corrección de vulnerabilidades Coste de seguridad global Coste por fase sin aplicar seguridad Coste por fase con seguridad 0 250 500 750 1000 G A y D C T Post-P 98,85 494,25 1186,2 197,7 187,5 0 50 100 150 200 G A y D C T SEG. 0 50 100 150 200 A D C T Post-P 187,5 0 100 200 300 400 500 G A y D C T Post-P 49 215 383 541 27,5 21 8 10 67,5
Implantación Modelo de Desarrollo Seguro en Viewnext 37 Proyecto Piloto EOSA: Conclusiones de auditoría • Dedicando mayor atención en la fase de análisis, reducimos drásticamente el tiempo de desarrollo, no así el de diseño y pruebas. • Dedicando atención en la toma de requisitos, concienciamos al cliente para poder dedicar tiempo en esta área de desarrollo que da por cubierta, erróneamente, en la mayoría de los casos. • El análisis de código estático es fácil de corregir, no así el manual que puede requerir incluso cambios arquitectónicos. • Menor impacto y mayor seguridad al incorporar el desarrollo seguro en fases tempranas del desarrollo.
Implantación Modelo de Desarrollo Seguro en Viewnext 38 Proyecto Piloto EOSA: Conclusiones de equipo • Incremento en la conciencia de la necesidad de un desarrollo seguro. • Impacto temporal en la resolución de vulnerabilidades cuando se detectan en fases avanzadas del desarrollo y en los módulos que no han contemplado la seguridad. • Contraprestaciones – Inversión adicional por parte del equipo para la implantación y adopción inicial del modelo. • Incertidumbre sobre los módulos desarrollados sin tener en cuenta la seguridad.
39 ¿Cuándo replantearme la aplicación de un S-SDLC? • Has tenido incidentes de seguridad o has actuado de forma reactiva. • Es una demanda interna o existe alguna normativa de seguridad. • Es una exigencia del sector de negocio. • Existe un marco regulatorio sobre ciberseguridad. • Lo propongo al cliente como una mejora u objetivo estratégico. • Aporta ventaja competitiva al negocio. • Tengo la capacidad de inversión. ¿Cuándo replantearme la aplicación de un SDLC? Si… REPLANTÉATE UN S-SDLC. ¿Has sumado 1 o más? 1 1 1 1 1 1 1
GRACIAS POR SU ATENCIÓN 40

Recommandé

Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...
Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...
Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...
Facultad de Informática UCM
 
Gestión de riesgos de software
Gestión de riesgos de softwareGestión de riesgos de software
Gestión de riesgos de software
Omar S. Gomez
 
Seguridad 002 seguridad en aplicaciones web y bases de datos
Seguridad 002 seguridad en aplicaciones web y bases de datosSeguridad 002 seguridad en aplicaciones web y bases de datos
Seguridad 002 seguridad en aplicaciones web y bases de datos
Luis Fernando
 
Modelos de software ventajas y desventajas
Modelos de software ventajas y desventajasModelos de software ventajas y desventajas
Modelos de software ventajas y desventajas
Edith Carreño
 
25 Estandares - IEEE Calidad de Software
25 Estandares - IEEE Calidad de Software25 Estandares - IEEE Calidad de Software
25 Estandares - IEEE Calidad de Software
Camila Arbelaez
 
Unidad 1 Ingenieria de software
Unidad 1 Ingenieria de softwareUnidad 1 Ingenieria de software
Unidad 1 Ingenieria de software
Jahiro Bojorquez
 
Iso iec 14598
Iso iec 14598Iso iec 14598
Iso iec 14598
junior
 
Ejemplos práctios de calidad en el software tecdencies
Ejemplos práctios de calidad en el software tecdenciesEjemplos práctios de calidad en el software tecdencies
Ejemplos práctios de calidad en el software tecdencies
MICProductivity
 

Recommandé

Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...
Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...
Jose carlossancho slidesLa seguridad en el desarrollo de software implementad...
Facultad de Informática UCM
 
Gestión de riesgos de software
Gestión de riesgos de softwareGestión de riesgos de software
Gestión de riesgos de software
Omar S. Gomez
 
Seguridad 002 seguridad en aplicaciones web y bases de datos
Seguridad 002 seguridad en aplicaciones web y bases de datosSeguridad 002 seguridad en aplicaciones web y bases de datos
Seguridad 002 seguridad en aplicaciones web y bases de datos
Luis Fernando
 
Modelos de software ventajas y desventajas
Modelos de software ventajas y desventajasModelos de software ventajas y desventajas
Modelos de software ventajas y desventajas
Edith Carreño
 
25 Estandares - IEEE Calidad de Software
25 Estandares - IEEE Calidad de Software25 Estandares - IEEE Calidad de Software
25 Estandares - IEEE Calidad de Software
Camila Arbelaez
 
Unidad 1 Ingenieria de software
Unidad 1 Ingenieria de softwareUnidad 1 Ingenieria de software
Unidad 1 Ingenieria de software
Jahiro Bojorquez
 
Iso iec 14598
Iso iec 14598Iso iec 14598
Iso iec 14598
junior
 
Ejemplos práctios de calidad en el software tecdencies
Ejemplos práctios de calidad en el software tecdenciesEjemplos práctios de calidad en el software tecdencies
Ejemplos práctios de calidad en el software tecdencies
MICProductivity
 
Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la Información
J. Gustavo López
 
Metodología RUP
Metodología RUPMetodología RUP
Metodología RUP
Jorge Cortés Alvarez
 
Modelo componentes
Modelo componentesModelo componentes
Modelo componentes
martin
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
Andres Soto Suarez
 
Fases del rup
Fases del rupFases del rup
Fases del rup
MaraJosQuilcaguanoTo
 
Cuadro comparativo modelos para el desarrollo de software
Cuadro comparativo modelos para el desarrollo de softwareCuadro comparativo modelos para el desarrollo de software
Cuadro comparativo modelos para el desarrollo de software
paoaboytes
 
Iso 25000
Iso 25000Iso 25000
Iso 25000
Miguel Angel Marin Naranjo
 
Modelo De Desarrollo Evolutivo
Modelo De Desarrollo EvolutivoModelo De Desarrollo Evolutivo
Modelo De Desarrollo Evolutivo
camilosena89
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
Mateo Martinez
 
IIS Unidad 4 Proyecto de software
IIS Unidad 4 Proyecto de softwareIIS Unidad 4 Proyecto de software
IIS Unidad 4 Proyecto de software
Franklin Parrales Bravo
 
metodología crystal clear
metodología crystal clear metodología crystal clear
metodología crystal clear
Jason José Martínez García
 
modelos del proceso del software
modelos del proceso del software modelos del proceso del software
modelos del proceso del software
Brihany Rossell
 
Prueba de Caja Blanca
Prueba de Caja BlancaPrueba de Caja Blanca
Prueba de Caja Blanca
Ignacio Vergara
 
Clasificación de las metodologías de desarrollo de software
Clasificación de las metodologías de desarrollo de softwareClasificación de las metodologías de desarrollo de software
Clasificación de las metodologías de desarrollo de software
ElvisAR
 
MODELO DE PROCESOS DEL SOFTWARE
MODELO DE PROCESOS DEL SOFTWAREMODELO DE PROCESOS DEL SOFTWARE
MODELO DE PROCESOS DEL SOFTWARE
Micky Jerzy
 
Ingenieria de software (conceptos básicos)
Ingenieria de software (conceptos básicos)Ingenieria de software (conceptos básicos)
Ingenieria de software (conceptos básicos)
Yaskelly Yedra
 
PSW Unidad 4 ESTIMACIÓN DE PROYECTOS DE SOFTWARE
PSW Unidad 4 ESTIMACIÓN DE PROYECTOS DE SOFTWAREPSW Unidad 4 ESTIMACIÓN DE PROYECTOS DE SOFTWARE
PSW Unidad 4 ESTIMACIÓN DE PROYECTOS DE SOFTWARE
Franklin Parrales Bravo
 
Proceso del Software
Proceso del Software Proceso del Software
Proceso del Software
Ares Atzarel Hernández Rodríguez
 
Pruebas de sistemas y aceptacion
Pruebas de sistemas y aceptacionPruebas de sistemas y aceptacion
Pruebas de sistemas y aceptacion
Abner Gerardo
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
Raúl Díaz
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
PMI Capítulo México
 
Ingenieria en software
Ingenieria en softwareIngenieria en software
Ingenieria en software
El Tory
 

Contenu connexe

Tendances

Modelo componentes
Modelo componentesModelo componentes
Modelo componentes
martin
 
Modelo De Desarrollo Evolutivo
Modelo De Desarrollo EvolutivoModelo De Desarrollo Evolutivo
Modelo De Desarrollo Evolutivo
camilosena89
 
modelos del proceso del software
modelos del proceso del software modelos del proceso del software
modelos del proceso del software
Brihany Rossell
 
Clasificación de las metodologías de desarrollo de software
Clasificación de las metodologías de desarrollo de softwareClasificación de las metodologías de desarrollo de software
Clasificación de las metodologías de desarrollo de software
ElvisAR
 
MODELO DE PROCESOS DEL SOFTWARE
MODELO DE PROCESOS DEL SOFTWAREMODELO DE PROCESOS DEL SOFTWARE
MODELO DE PROCESOS DEL SOFTWARE
Micky Jerzy
 

Tendances (20)

Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la Información
 
Metodología RUP
Metodología RUPMetodología RUP
Metodología RUP
 
Modelo componentes
Modelo componentesModelo componentes
Modelo componentes
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
 
Fases del rup
Fases del rupFases del rup
Fases del rup
 
Cuadro comparativo modelos para el desarrollo de software
Cuadro comparativo modelos para el desarrollo de softwareCuadro comparativo modelos para el desarrollo de software
Cuadro comparativo modelos para el desarrollo de software
 
Iso 25000
Iso 25000Iso 25000
Iso 25000
 
Modelo De Desarrollo Evolutivo
Modelo De Desarrollo EvolutivoModelo De Desarrollo Evolutivo
Modelo De Desarrollo Evolutivo
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
IIS Unidad 4 Proyecto de software
IIS Unidad 4 Proyecto de softwareIIS Unidad 4 Proyecto de software
IIS Unidad 4 Proyecto de software
 
metodología crystal clear
metodología crystal clear metodología crystal clear
metodología crystal clear
 
modelos del proceso del software
modelos del proceso del software modelos del proceso del software
modelos del proceso del software
 
Prueba de Caja Blanca
Prueba de Caja BlancaPrueba de Caja Blanca
Prueba de Caja Blanca
 
Clasificación de las metodologías de desarrollo de software
Clasificación de las metodologías de desarrollo de softwareClasificación de las metodologías de desarrollo de software
Clasificación de las metodologías de desarrollo de software
 
MODELO DE PROCESOS DEL SOFTWARE
MODELO DE PROCESOS DEL SOFTWAREMODELO DE PROCESOS DEL SOFTWARE
MODELO DE PROCESOS DEL SOFTWARE
 
Ingenieria de software (conceptos básicos)
Ingenieria de software (conceptos básicos)Ingenieria de software (conceptos básicos)
Ingenieria de software (conceptos básicos)
 
PSW Unidad 4 ESTIMACIÓN DE PROYECTOS DE SOFTWARE
PSW Unidad 4 ESTIMACIÓN DE PROYECTOS DE SOFTWAREPSW Unidad 4 ESTIMACIÓN DE PROYECTOS DE SOFTWARE
PSW Unidad 4 ESTIMACIÓN DE PROYECTOS DE SOFTWARE
 
Proceso del Software
Proceso del Software Proceso del Software
Proceso del Software
 
Pruebas de sistemas y aceptacion
Pruebas de sistemas y aceptacionPruebas de sistemas y aceptacion
Pruebas de sistemas y aceptacion
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
 

Similaire à Modelos de desarrollo seguro de software

Ingenieria en software
Ingenieria en softwareIngenieria en software
Ingenieria en software
El Tory
 
Metodología de desarrollo de software
Metodología de desarrollo de softwareMetodología de desarrollo de software
Metodología de desarrollo de software
Abner Garcia
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
Luciano Moreira da Cruz
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actual
Jaime Restrepo
 
Modelos de software
Modelos de softwareModelos de software
Modelos de software
NathalyAndrade10
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Ramiro Carballo
 

Similaire à Modelos de desarrollo seguro de software (20)

Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Ingenieria en software
Ingenieria en softwareIngenieria en software
Ingenieria en software
 
Metodología de desarrollo de software
Metodología de desarrollo de softwareMetodología de desarrollo de software
Metodología de desarrollo de software
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
Modelos o Ciclos de vida de software
Modelos o Ciclos de vida de softwareModelos o Ciclos de vida de software
Modelos o Ciclos de vida de software
 
Ingeniería de software Definicion,inicion,importancia y utilidad
Ingeniería de software Definicion,inicion,importancia y utilidadIngeniería de software Definicion,inicion,importancia y utilidad
Ingeniería de software Definicion,inicion,importancia y utilidad
 
Metodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web SegurasMetodologías de Desarrollo de Aplicaciones Web Seguras
Metodologías de Desarrollo de Aplicaciones Web Seguras
 
Expo
ExpoExpo
Expo
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
Marco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxMarco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptx
 
Desarrollo de software
Desarrollo de softwareDesarrollo de software
Desarrollo de software
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actual
 
Modelos de software
Modelos de softwareModelos de software
Modelos de software
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.
 
El proceso
El procesoEl proceso
El proceso
 
Investigación de modelos
Investigación de modelos Investigación de modelos
Investigación de modelos
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
 
Fundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptxFundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptx
 
Curso de Certificación para Técnico en Ambientes Críticos (CETa)
Curso de Certificación para Técnico en Ambientes Críticos (CETa)Curso de Certificación para Técnico en Ambientes Críticos (CETa)
Curso de Certificación para Técnico en Ambientes Críticos (CETa)
 
Modelo de desarrollo de software espiral
Modelo de desarrollo de software espiralModelo de desarrollo de software espiral
Modelo de desarrollo de software espiral
 

Plus de Facultad de Informática UCM

¿Por qué debemos seguir trabajando en álgebra lineal?
¿Por qué debemos seguir trabajando en álgebra lineal?¿Por qué debemos seguir trabajando en álgebra lineal?
¿Por qué debemos seguir trabajando en álgebra lineal?
Facultad de Informática UCM
 
TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...
TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...
TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...
Facultad de Informática UCM
 
uElectronics ongoing activities at ESA
uElectronics ongoing activities at ESAuElectronics ongoing activities at ESA
uElectronics ongoing activities at ESA
Facultad de Informática UCM
 
Tendencias en el diseño de procesadores con arquitectura Arm
Tendencias en el diseño de procesadores con arquitectura ArmTendencias en el diseño de procesadores con arquitectura Arm
Tendencias en el diseño de procesadores con arquitectura Arm
Facultad de Informática UCM
 
Formalizing Mathematics in Lean
Formalizing Mathematics in LeanFormalizing Mathematics in Lean
Formalizing Mathematics in Lean
Facultad de Informática UCM
 
Introduction to Quantum Computing and Quantum Service Oriented Computing
Introduction to Quantum Computing and Quantum Service Oriented ComputingIntroduction to Quantum Computing and Quantum Service Oriented Computing
Introduction to Quantum Computing and Quantum Service Oriented Computing
Facultad de Informática UCM
 
Computer Design Concepts for Machine Learning
Computer Design Concepts for Machine LearningComputer Design Concepts for Machine Learning
Computer Design Concepts for Machine Learning
Facultad de Informática UCM
 
Inteligencia Artificial en la atención sanitaria del futuro
Inteligencia Artificial en la atención sanitaria del futuroInteligencia Artificial en la atención sanitaria del futuro
Inteligencia Artificial en la atención sanitaria del futuro
Facultad de Informática UCM
 
Design Automation Approaches for Real-Time Edge Computing for Science Applic...
Design Automation Approaches for Real-Time Edge Computing for Science Applic... Design Automation Approaches for Real-Time Edge Computing for Science Applic...
Design Automation Approaches for Real-Time Edge Computing for Science Applic...
Facultad de Informática UCM
 
Estrategias de navegación para robótica móvil de campo: caso de estudio proye...
Estrategias de navegación para robótica móvil de campo: caso de estudio proye...Estrategias de navegación para robótica móvil de campo: caso de estudio proye...
Estrategias de navegación para robótica móvil de campo: caso de estudio proye...
Facultad de Informática UCM
 
Fault-tolerance Quantum computation and Quantum Error Correction
Fault-tolerance Quantum computation and Quantum Error CorrectionFault-tolerance Quantum computation and Quantum Error Correction
Fault-tolerance Quantum computation and Quantum Error Correction
Facultad de Informática UCM
 
Cómo construir un chatbot inteligente sin morir en el intento
Cómo construir un chatbot inteligente sin morir en el intentoCómo construir un chatbot inteligente sin morir en el intento
Cómo construir un chatbot inteligente sin morir en el intento
Facultad de Informática UCM
 
Automatic generation of hardware memory architectures for HPC
Automatic generation of hardware memory architectures for HPCAutomatic generation of hardware memory architectures for HPC
Automatic generation of hardware memory architectures for HPC
Facultad de Informática UCM
 
Type and proof structures for concurrency
Type and proof structures for concurrencyType and proof structures for concurrency
Type and proof structures for concurrency
Facultad de Informática UCM
 
Hardware/software security contracts: Principled foundations for building sec...
Hardware/software security contracts: Principled foundations for building sec...Hardware/software security contracts: Principled foundations for building sec...
Hardware/software security contracts: Principled foundations for building sec...
Facultad de Informática UCM
 
Do you trust your artificial intelligence system?
Do you trust your artificial intelligence system?Do you trust your artificial intelligence system?
Do you trust your artificial intelligence system?
Facultad de Informática UCM
 
Redes neuronales y reinforcement learning. Aplicación en energía eólica.
Redes neuronales y reinforcement learning. Aplicación en energía eólica.Redes neuronales y reinforcement learning. Aplicación en energía eólica.
Redes neuronales y reinforcement learning. Aplicación en energía eólica.
Facultad de Informática UCM
 
Challenges and Opportunities for AI and Data analytics in Offshore wind
Challenges and Opportunities for AI and Data analytics in Offshore windChallenges and Opportunities for AI and Data analytics in Offshore wind
Challenges and Opportunities for AI and Data analytics in Offshore wind
Facultad de Informática UCM
 
Evolution and Trends in Edge AI Systems and Architectures for the Internet of...
Evolution and Trends in Edge AI Systems and Architectures for the Internet of...Evolution and Trends in Edge AI Systems and Architectures for the Internet of...
Evolution and Trends in Edge AI Systems and Architectures for the Internet of...
Facultad de Informática UCM
 

Plus de Facultad de Informática UCM (20)

¿Por qué debemos seguir trabajando en álgebra lineal?
¿Por qué debemos seguir trabajando en álgebra lineal?¿Por qué debemos seguir trabajando en álgebra lineal?
¿Por qué debemos seguir trabajando en álgebra lineal?
 
TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...
TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...
TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...
 
DRAC: Designing RISC-V-based Accelerators for next generation Computers
DRAC: Designing RISC-V-based Accelerators for next generation ComputersDRAC: Designing RISC-V-based Accelerators for next generation Computers
DRAC: Designing RISC-V-based Accelerators for next generation Computers
 
uElectronics ongoing activities at ESA
uElectronics ongoing activities at ESAuElectronics ongoing activities at ESA
uElectronics ongoing activities at ESA
 
Tendencias en el diseño de procesadores con arquitectura Arm
Tendencias en el diseño de procesadores con arquitectura ArmTendencias en el diseño de procesadores con arquitectura Arm
Tendencias en el diseño de procesadores con arquitectura Arm
 
Formalizing Mathematics in Lean
Formalizing Mathematics in LeanFormalizing Mathematics in Lean
Formalizing Mathematics in Lean
 
Introduction to Quantum Computing and Quantum Service Oriented Computing
Introduction to Quantum Computing and Quantum Service Oriented ComputingIntroduction to Quantum Computing and Quantum Service Oriented Computing
Introduction to Quantum Computing and Quantum Service Oriented Computing
 
Computer Design Concepts for Machine Learning
Computer Design Concepts for Machine LearningComputer Design Concepts for Machine Learning
Computer Design Concepts for Machine Learning
 
Inteligencia Artificial en la atención sanitaria del futuro
Inteligencia Artificial en la atención sanitaria del futuroInteligencia Artificial en la atención sanitaria del futuro
Inteligencia Artificial en la atención sanitaria del futuro
 
Design Automation Approaches for Real-Time Edge Computing for Science Applic...
Design Automation Approaches for Real-Time Edge Computing for Science Applic... Design Automation Approaches for Real-Time Edge Computing for Science Applic...
Design Automation Approaches for Real-Time Edge Computing for Science Applic...
 
Estrategias de navegación para robótica móvil de campo: caso de estudio proye...
Estrategias de navegación para robótica móvil de campo: caso de estudio proye...Estrategias de navegación para robótica móvil de campo: caso de estudio proye...
Estrategias de navegación para robótica móvil de campo: caso de estudio proye...
 
Fault-tolerance Quantum computation and Quantum Error Correction
Fault-tolerance Quantum computation and Quantum Error CorrectionFault-tolerance Quantum computation and Quantum Error Correction
Fault-tolerance Quantum computation and Quantum Error Correction
 
Cómo construir un chatbot inteligente sin morir en el intento
Cómo construir un chatbot inteligente sin morir en el intentoCómo construir un chatbot inteligente sin morir en el intento
Cómo construir un chatbot inteligente sin morir en el intento
 
Automatic generation of hardware memory architectures for HPC
Automatic generation of hardware memory architectures for HPCAutomatic generation of hardware memory architectures for HPC
Automatic generation of hardware memory architectures for HPC
 
Type and proof structures for concurrency
Type and proof structures for concurrencyType and proof structures for concurrency
Type and proof structures for concurrency
 
Hardware/software security contracts: Principled foundations for building sec...
Hardware/software security contracts: Principled foundations for building sec...Hardware/software security contracts: Principled foundations for building sec...
Hardware/software security contracts: Principled foundations for building sec...
 
Do you trust your artificial intelligence system?
Do you trust your artificial intelligence system?Do you trust your artificial intelligence system?
Do you trust your artificial intelligence system?
 
Redes neuronales y reinforcement learning. Aplicación en energía eólica.
Redes neuronales y reinforcement learning. Aplicación en energía eólica.Redes neuronales y reinforcement learning. Aplicación en energía eólica.
Redes neuronales y reinforcement learning. Aplicación en energía eólica.
 
Challenges and Opportunities for AI and Data analytics in Offshore wind
Challenges and Opportunities for AI and Data analytics in Offshore windChallenges and Opportunities for AI and Data analytics in Offshore wind
Challenges and Opportunities for AI and Data analytics in Offshore wind
 
Evolution and Trends in Edge AI Systems and Architectures for the Internet of...
Evolution and Trends in Edge AI Systems and Architectures for the Internet of...Evolution and Trends in Edge AI Systems and Architectures for the Internet of...
Evolution and Trends in Edge AI Systems and Architectures for the Internet of...
 

Dernier

PostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCDPostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCD
Edith Puclla
 
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdfUC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
refrielectriccarlyz
 
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONALSESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
EdwinC23
 
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
gustavoiashalom
 
Tipos de suelo y su clasificación y ejemplos
Tipos de suelo y su clasificación y ejemplosTipos de suelo y su clasificación y ejemplos
Tipos de suelo y su clasificación y ejemplos
andersonsubero28
 

Dernier (20)

libro de ingeniería de petróleos y operaciones
libro de ingeniería de petróleos y operacioneslibro de ingeniería de petróleos y operaciones
libro de ingeniería de petróleos y operaciones
 
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.pptTippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
Tippens fisica 7eDIAPOSITIVAS TIPENS Tippens_fisica_7e_diapositivas_33.ppt
 
metodos de fitomejoramiento en la aolicacion de plantas
metodos de fitomejoramiento en la aolicacion de plantasmetodos de fitomejoramiento en la aolicacion de plantas
metodos de fitomejoramiento en la aolicacion de plantas
 
PostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCDPostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCD
 
Análisis de Costos y Presupuestos CAPECO
Análisis de Costos y Presupuestos CAPECOAnálisis de Costos y Presupuestos CAPECO
Análisis de Costos y Presupuestos CAPECO
 
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
 
Propuesta para la creación de un Centro de Innovación para la Refundación ...
Propuesta para la creación de un Centro de Innovación para la Refundación ...Propuesta para la creación de un Centro de Innovación para la Refundación ...
Propuesta para la creación de un Centro de Innovación para la Refundación ...
 
Video sustentación GA2- 240201528-AA3-EV01.pptx
Video sustentación GA2- 240201528-AA3-EV01.pptxVideo sustentación GA2- 240201528-AA3-EV01.pptx
Video sustentación GA2- 240201528-AA3-EV01.pptx
 
PRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTO
PRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTOPRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTO
PRESENTACION DE LAS PLAGAS Y ENFERMEDADES DEL PALTO
 
Sistemas de Ecuaciones no lineales-1.pptx
Sistemas de Ecuaciones no lineales-1.pptxSistemas de Ecuaciones no lineales-1.pptx
Sistemas de Ecuaciones no lineales-1.pptx
 
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdfUC Fundamentos de tuberías en equipos de refrigeración m.pdf
UC Fundamentos de tuberías en equipos de refrigeración m.pdf
 
422382393-Curso-de-Tableros-Electricos.pptx
422382393-Curso-de-Tableros-Electricos.pptx422382393-Curso-de-Tableros-Electricos.pptx
422382393-Curso-de-Tableros-Electricos.pptx
 
Clasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docxClasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docx
 
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONALSESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
SESION 11 SUPERVISOR SSOMA SEGURIDAD Y SALUD OCUPACIONAL
 
EFICIENCIA ENERGETICA-ISO50001_INTEC_2.pptx
EFICIENCIA ENERGETICA-ISO50001_INTEC_2.pptxEFICIENCIA ENERGETICA-ISO50001_INTEC_2.pptx
EFICIENCIA ENERGETICA-ISO50001_INTEC_2.pptx
 
2024 GUIA PRACTICAS MICROBIOLOGIA- UNA 2017 (1).pdf
2024 GUIA PRACTICAS MICROBIOLOGIA- UNA 2017 (1).pdf2024 GUIA PRACTICAS MICROBIOLOGIA- UNA 2017 (1).pdf
2024 GUIA PRACTICAS MICROBIOLOGIA- UNA 2017 (1).pdf
 
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
 
2e38892c-fc5d-490e-b751-ce772cf4756f.pdf
2e38892c-fc5d-490e-b751-ce772cf4756f.pdf2e38892c-fc5d-490e-b751-ce772cf4756f.pdf
2e38892c-fc5d-490e-b751-ce772cf4756f.pdf
 
Tipos de suelo y su clasificación y ejemplos
Tipos de suelo y su clasificación y ejemplosTipos de suelo y su clasificación y ejemplos
Tipos de suelo y su clasificación y ejemplos
 
FUNCION DE ESTADO EN LA TERMODINAMICA.pdf
FUNCION DE ESTADO EN LA TERMODINAMICA.pdfFUNCION DE ESTADO EN LA TERMODINAMICA.pdf
FUNCION DE ESTADO EN LA TERMODINAMICA.pdf
 

Modelos de desarrollo seguro de software

  • 1. MODELOS DE DESARROLLO SEGURO DE SOFTWARE Andrés Caro 1
  • 2. $whoami Andrés Caro 2 • Profesor Titular de Universidad – Universidad de Extremadura • Área Lenguajes y Sistemas Informáticos • Doctor e Ingeniero en Informática • Director Cátedra ViewNext-UEx Seguridad y Auditoría de Sistemas Software • Grados de Ingeniería en Informática • Ingeniería de Computadores • Ingeniería del Software • Máster en Ingeniería Informática • Organización de cursos / jornadas • I Foro CIBER (noviembre 2016) • Curso Experto Profesional Derecho Tecnológico e Informática Forense • Hacking ético – Seguridad informática • LOPD – ENS • Peritaje – Informática forense • Cibercooperante @_AndresCaro_ andresc@unex.es 2
  • 3. Por qué un modelo de desarrollo seguro (S-SDLC) Necesidad: Ataques cibernéticos y coste de solucionar fallos 3 Multitud de ataques cibernéticos con graves consecuencias Fuente: http://map.norsecorp.com 3
  • 4. Por qué un modelo de desarrollo seguro (S-SDLC) Necesidad: Ataques cibernéticos y coste de solucionar fallos 4 Coste de solucionar vulnerabilidades Fuente: Instituto Nacional de Estándares y Tecnología (NIST) Incremento del +40% de los ciberataques en España Fuente: (CCN-CERT) 4
  • 5. Por qué un modelo de desarrollo seguro (S-SDLC) Necesidad: Ataques cibernéticos y coste de solucionar fallos 5 60 % de los ciberataques se cometen desde dentro (datos mundiales) Fuente: IBM Security Summit 2016 Fuente: IBM Security Summit 2016 5
  • 6. Por qué un modelo de desarrollo seguro (S-SDLC) Causas: Falta de seguridad desde el inicio de los proyectos 6 Falta de integración de seguridad en los procesos de desarrollo Aplicar la seguridad en fases finales y más complejas de los proyectos Pérdidas económicas Pérdidas temporales Pérdida de clientes Confianza - Credibilidad Consecuencias: altos costes, retrasos y reputación empresarial 6
  • 7. Por qué un modelo de desarrollo seguro (S-SDLC) Necesidad: Generar una conciencia y cultura de la seguridad en las áreas implicadas en el ciclo de vida de un sistema 7 Fuente: IBM Security Summit 2016 7
  • 8. Por qué un modelo de desarrollo seguro (S-SDLC) Necesidad: Generar una conciencia y cultura de la seguridad en las áreas implicadas en el ciclo de vida de un sistema 8 DELIVERY • AS-SDLC (Agile Secure – SDLC) • SAST – Static Application Security Testing • Automatización test QA & TESTING • DAST – Dynamic Application Security Testing • Pen-Testing ITS A&I CENTRO DE COMPETENCIA EN SEGURIDAD 8
  • 9. Por qué un modelo de desarrollo seguro (S-SDLC) Análisis cuantitativo 9 Reducción número de vulnerabilidades y criticidad: • Alrededor de un 40-50 % de reducción en el número de vulnerabilidades tras la implantación de un S-SDLC en el primer año (un 75-80 % sobre vulnerabilidades críticas). • Una reducción de un 50 % en el número de vulnerabilidades implica una reducción de un 75% en los costes de gestión de la configuración y respuesta a incidentes. 75 % de las vulnerabilidades están relacionadas con las aplicaciones * Haciendo una equiparación del tamaño de los módulos Fuente: Microsoft Security Blog & Microsoft Technet Security Blog Fuente: Piloto implantación proyecto EOSA 9
  • 10. Por qué un modelo de desarrollo seguro (S-SDLC) Análisis cuantitativo 10 Reducción de costes de resolución de defectos: • Alrededor de un 30 % de reducción en el coste de solucionar defectos y vulnerabilidades en una fase temprana del ciclo de desarrollo frente a realizar en la fase de pre-producción (post-release). • Además se incluirían costes adicionales por pérdida de productividad y confianza por parte del cliente o usuario final. • Un S-SDLC se ocupa desde el principio y sistemáticamente de las actividades relativas a la seguridad del software durante todo el ciclo de desarrollo, de manera que las vulnerabilidades y su corrección se lleven a cabo en fases incluso previas a la fase de desarrollo, reduciendo sensiblemente los costes globales del desarrollo.. 75 % de las vulnerabilidades están relacionadas con las aplicaciones Fuente: National Institute of Standards and Technology (NIST) Fuente: Piloto implantación proyecto EOSA * Haciendo una equiparación del tamaño de los módulos 10
  • 11. Por qué un modelo de desarrollo seguro (S-SDLC) Solución: Análisis de Metodologías y estándares de seguridad 11 Analizar modelos y detectar actividades recurrentes y fundamentales Metodologías de Desarrollo de Software Seguro 11
  • 12. Por qué un modelo de desarrollo seguro (S-SDLC) Solución: Análisis de Metodologías y estándares de seguridad 12 Metodologías de Desarrollo de Software Seguro 12
  • 13. Por qué un modelo de desarrollo seguro (S-SDLC) Metodologías de Desarrollo de Software Seguro por Defecto 13 Flexibilidad de aplicación empresarial • 4 Funciones de Negocio • 12 Actividades de Seguridad Directiva obligatoria en Microsoft desde 2004: • Más popular y utilizado. • Abundante documentación de los procesos. 13
  • 14. Actividades de Seguridad Identificadas 14 Aproximaciones a un S-SDLC • ESTRATEGIA Y ORIENTACIÓN (Top 10 OWASP, CERT, CWE) • FORMACIÓN EN SEGURIDAD de los grupos implicados en el desarrollo. • Identificación y DEFINICIÓN DE RIESGOS de negocio del cliente. • Obtención y validación de los REQUISITOS DE SEGURIDAD. • Análisis y MODELADO DE AMENAZAS que proteja la superficie de ataques. • REVISIÓN DEL DISEÑO. • REVISIÓN DEL CÓDIGO. • TESTING DE SEGURIDAD. • VALIDACIÓN DE SALIDAS garantizando la seguridad del código liberado. • EVALUACIÓN Y MÉTRICAS confirmando el seguimiento de la seguridad. • Implantación de un PLAN DE RESPUESTA A INCIDENTES. Repositorio de vulnerabilidades y gestión del conocimiento Estado del proyecto Observatorio de Seguridad Preventivo Reactivo Nuevas Actividades Propuestas: Carencias detectadas de otros modelos. 14
  • 15. Metamodelo de desarrollo seguro Viewnext (S-SDLC) Estructura: Áreas de desarrollo. 15 Políticas Metodología SDL Supervisión Observatorio Divididas en 4 Áreas de Desarrollo: • Definición de objetivos y directrices globales y sectoriales. • Implicación de todos los grupos. Formación. • Conocimiento de los riesgos. • Construcción de software seguro por defecto: • Requisitos, Modelado de amenazas. Diseño seguro. Análisis de código. Testing de seguridad. • Evaluación continua. • Cumplimiento de seguridad. • Conocimiento instantáneo del estado. • Nuevos tipos de ataques y vulnerabilidades. • Aprendizaje continuo. • Convertir medidas reactivas en preventivas. 15
  • 16. Modelo de desarrollo seguro Viewnext (S-SDLC) Estructura Metamodelo: Actividades de seguridad 16 ÁREAS DE DESARROLLO ACTIVIDADES DE SEGURIDAD 16
  • 17. Modelo de desarrollo seguro Viewnext (S-SDLC) Conexión Metamodelo: Actividades de seguridad 17 Políticas Metodología Supervisión Observatorio17
  • 18. Modelo de desarrollo seguro Viewnext (S-SDLC) Metodología SDL: Actividades 18
  • 19. Modelo de desarrollo seguro Viewnext (S-SDLC) Evaluación inicial del nivel de seguridad Proyectos con nuevos desarrollos Proyectos en mantenimiento 19
  • 20. Modelo de desarrollo seguro Viewnext (S-SDLC) Niveles de Seguridad: Estándar, Moderado y Crítico. 20 20 Estándar Moderado Crítico Comprensión inicial y disposición específica para adoptar las actividades. Incremento de la eficacia y eficiencia de las actividades Realización sofisticada de las actividades acordes a un marco regulatorio específico. Validación Nivel SimbologíaDescripción 20
  • 21. Modelo de desarrollo seguro Viewnext (S-SDLC) Adaptaciones del modelo global Viewnext. TIPO DE PROYECTO METODOLOGÍA FASES AMS ÁGIL DISEÑO TÉCNICO -> FIN DESARROLLO 0 TRADICIONAL ANÁLISIS FUNCIONAL->FIN Tipología 1 • DESARROLLO 0 • SCRUM • ANÁLISIS -> FIN Metamodelo – Modelo Teórico base Tipología 2 • AMS/DESARROLLO 0 • TRADICIONAL • DISEÑO TÉCNICO-> FIN Tipología 3 • DESARROLLO 0 • SCRUM • DISEÑO TÉCNICO-> FIN 21
  • 22. Modelo de desarrollo seguro Viewnext (S-SDLC) 22 El modelo de ciclo de vida desarrollo seguro para ADM-DW está basado en el modelo de desarrollo seguro corporativo de Viewnext, que establece 4 áreas de aplicación y 14 actividades relacionadas con la definición de un modelo preventivo, integrado e integral. Modelo Desarrollo Seguro Viewnext Modelo Adaptación Ciclo de Vida Aplicación del Modelo Memoria de Aplicación •4 áreas/14 actividades •2 modelos de implantación (nuevos desarrollos / mantenimientos) •AS-SDLC (Agile Secure – Software Development Life Cycle) •WS-SDLC (Waterfall Secure – Software Development Life Cycle) •Categorización del ciclo de vida del proyecto •Particularización y contextualización del modelo adaptado adecuado •Bitácora de aplicación •Métricas e indicadores •Lecciones aprendidas •Conclusiones y siguientes pasos
  • 23. ¿Cómo se implanta el S-SDLC en mi proyecto? 23 Metodología: 4 Fases de implantación 2016 Formación y Definición de indicadores de seguridad Evaluación inicial de seguridad Medición del coste de solucionar fallos Integración Modelo de Desarrollo Seguro Aplicación metodología SDL Medición coste metodología SDL Optimización del Modelo de Desarrollo Seguro Contrastar nivel de seguridad FORMACIÓN Y PREPARACIÓN DEL ECOSISTEMA EVALUACIÓN DE LA SEGURIDAD INTEGRACIÓN DEL MODELO SDLC RETROSPECTIVA Y MEJORA CONTINUA Preparación de herramientas Formación de la población Equipo de Calidad y Pruebas Requisitos | Modelado de amenazas | Buenas prácticas Cuestionario de implantación
  • 24. ¿Cómo se implanta el S-SDLC en mi proyecto? 24 Metodología: Fases en las que más interviene ADM DW. RETROSPECTIVA Y MEJORA CONTINUA Riesgo de Exposición | Nivel de Riesgo | Análisis y resolución de vulnerabilidades | Nivel de inversión FORMACIÓN Y PREPARACIÓN DEL ECOSISTEMA FORMACIÓN (EQUIPO COMPLETO) Analista de Negocio Diseñador Desarrollador ECOSISTEMA DE SEGURIDAD RTC INTEGRACIÓN DEL MODELO SDLC Requisitos -> Amenazas -> Prácticas seguras de codificación Definición exhaustiva de: – Tipos de usuario y sus privilegios. – Ciclo de vida de los privilegios. – Principio del mínimo privilegio. – Fallar seguro ante escalada de privilegios.
  • 25. ¿Cómo se implanta el S-SDLC en mi proyecto? 25 Metodología: Trazabilidad de Requisitos – Amenazas – Buenas prácticas. ¿Qué tipo de aplicativo es? • Aplicación Web. • Web Service. • Aplicación móvil. ¿El sitio web requiere autenticación? • Si. o Registro del estado de las operaciones de autenticación. • No, existe funcionalidad para perfiles públicos. ¿Cómo se autentica el usuario? • Usuario y contraseña o Login de sesión y criterios de contraseña segura. • Doble factor de autenticación. • Certificado Digital. • Sin autenticar. ¿Se almacenan los estados de las peticiones de autenticación en un Log? • Se almacenan sólo los intentos fallidos para su posterior análisis. ¿Existe una política de directiva de grupos - GPO (Group Policy Object)? • Cumplir criterios de contraseña segura. • Temporalidad (cambiar contraseñas cada dos meses.) • Imposibilidad de repetir la misma contraseña. Responder un cuestionario básico Identificar temas de seguridad MODELADO DE AMENAZAS IDENTIFICACIÓN DE: • ACTIVOS. • ENTIDADES EXTERNAS. • PUNTOS DE ENTRADA.
  • 26. Resultado final Comparativa de costes VS nivel de seguridad Coste corrección de vulnerabilidades Coste de seguridad global Coste por fase sin aplicar seguridad Coste por fase con seguridad 0 5 10 15 20 A D C T Post-P 0 5 10 15 20 A D C T SEG. 0 5 10 15 20 A D C T Post-P 0 5 10 15 20 A D C T Post-P PROYECTO SIN SEGURIDAD PROYECTO CON MODELO SDLC 26
  • 27. Implantación Modelo de Desarrollo Seguro en Viewnext Proyecto Piloto EOSA: Contexto Nuevos Desarrollos con intervención desde la fase de toma de requisitos y análisis funcional. Metodología ágil SCRUM (ciclos de liberación frecuentes).  Tipología 1 • DESARROLLO 0 • SCRUM • ANÁLISIS -> FIN Equipo Multifuncional 73% 27% 27% Temporalidad módulo desarrollados ALMACENES - 1997h PERSONAL - 747h
  • 28. Implantación Modelo de Desarrollo Seguro en Viewnext 28 EOSA: Fase 2 - Auditoria y resolución de fallos de seguridad - ALMACENES Proyectos en mantenimiento Detectar fallos de seguridad 0 5 10 15 20 Coste resolver las vulnerabilidadesAplicar testing de seguridad y revisión de código
  • 29. Implantación Modelo de Desarrollo Seguro en Viewnext 29 EOSA: Fase 2 - Auditoria y resolución de fallos de seguridad - ALMACENES Auditoria y resolución de fallos de seguridad (horas/fase) 0 200 400 600 800 1000 1200 Gestión Análisis y Diseño Construcción Testing Incidencias 98,85 494,25 1186,2 197,7 187,561 CENTRO DE CALIDAD Y PRUEBAS
  • 30. Implantación Modelo de Desarrollo Seguro en Viewnext EOSA: Fase 2 - Auditoria y resolución de fallos de seguridad Tipos y categorías de vulnerabilidades 25 vulnerabilidades DAST
  • 31. Implantación Modelo de Desarrollo Seguro en Viewnext 31 EOSA: Fase 2 - Auditoria y resolución de fallos de seguridad Riesgo de vulnerabilidades por módulo
  • 32. Implantación Modelo de Desarrollo Seguro en Viewnext 32 EOSA: Fase 3 - Implantación de actividades y coste - PERSONAL Implantación en nuevos desarrollos Incremento de coste en cada fase Coste por fase de aplicar seguridadAplicar la seguridad en todo el proceso de construcción del software 0 5 10 15 20
  • 33. Implantación Modelo de Desarrollo Seguro en Viewnext 33 EOSA: Fase 3 - Implantación de actividades y coste - PERSONAL Implantación del modelo en nuevos desarrollos e incremento de coste por cada fase 0 50 100 150 200 250 300 350 400 450 Gestión Análisis y Diseño Construcción Testing Incidencias 49 215 383 54 1 27,5 21 8 10 63 CENTRO DE CALIDAD Y PRUEBAS
  • 34. Implantación Modelo de Desarrollo Seguro en Viewnext 34 Proyecto Piloto EOSA: Fase 3 - Implantación de actividades y coste ALMACENES PERSONAL Resto Seguridad FASE Seguridad Resto 99 13 GESTIÓN 1 49 494 6,5 ANÁLISIS Y DISEÑO 27,5 215,5 1186 87 DESARROLLO 21 383 198 10 TESTING 8 54 71 INCIDENCIAS 10 61 AUDITORIAS 63
  • 35. Implantación Modelo de Desarrollo Seguro en Viewnext 35 Proyecto Piloto EOSA: Fase 4 - Comparativa de costes y nivel de seguridad Coste corrección de vulnerabilidades Coste de seguridad global Coste por fase sin aplicar seguridad Coste por fase con seguridad 0 5 10 15 20 A D C T Post-P 0 5 10 15 20 A D C T SEG. 0 5 10 15 20 A D C T Post-P 0 5 10 15 20 A D C T Post-P
  • 36. Implantación Modelo de Desarrollo Seguro en Viewnext 36 Proyecto Piloto EOSA: Fase 4 - Comparativa de costes y nivel de seguridad Coste corrección de vulnerabilidades Coste de seguridad global Coste por fase sin aplicar seguridad Coste por fase con seguridad 0 250 500 750 1000 G A y D C T Post-P 98,85 494,25 1186,2 197,7 187,5 0 50 100 150 200 G A y D C T SEG. 0 50 100 150 200 A D C T Post-P 187,5 0 100 200 300 400 500 G A y D C T Post-P 49 215 383 541 27,5 21 8 10 67,5
  • 37. Implantación Modelo de Desarrollo Seguro en Viewnext 37 Proyecto Piloto EOSA: Conclusiones de auditoría • Dedicando mayor atención en la fase de análisis, reducimos drásticamente el tiempo de desarrollo, no así el de diseño y pruebas. • Dedicando atención en la toma de requisitos, concienciamos al cliente para poder dedicar tiempo en esta área de desarrollo que da por cubierta, erróneamente, en la mayoría de los casos. • El análisis de código estático es fácil de corregir, no así el manual que puede requerir incluso cambios arquitectónicos. • Menor impacto y mayor seguridad al incorporar el desarrollo seguro en fases tempranas del desarrollo.
  • 38. Implantación Modelo de Desarrollo Seguro en Viewnext 38 Proyecto Piloto EOSA: Conclusiones de equipo • Incremento en la conciencia de la necesidad de un desarrollo seguro. • Impacto temporal en la resolución de vulnerabilidades cuando se detectan en fases avanzadas del desarrollo y en los módulos que no han contemplado la seguridad. • Contraprestaciones – Inversión adicional por parte del equipo para la implantación y adopción inicial del modelo. • Incertidumbre sobre los módulos desarrollados sin tener en cuenta la seguridad.
  • 39. 39 ¿Cuándo replantearme la aplicación de un S-SDLC? • Has tenido incidentes de seguridad o has actuado de forma reactiva. • Es una demanda interna o existe alguna normativa de seguridad. • Es una exigencia del sector de negocio. • Existe un marco regulatorio sobre ciberseguridad. • Lo propongo al cliente como una mejora u objetivo estratégico. • Aporta ventaja competitiva al negocio. • Tengo la capacidad de inversión. ¿Cuándo replantearme la aplicación de un SDLC? Si… REPLANTÉATE UN S-SDLC. ¿Has sumado 1 o más? 1 1 1 1 1 1 1
  • 40. GRACIAS POR SU ATENCIÓN 40