C. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48
C. Arequipa, 1...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 2
Desarrollo de software seguro: una visión con O...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 3
Desarrollo de software seguro: una visión con O...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 4
Desarrollo de software seguro: una visión con O...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 5
Desarrollo de software seguro: una visión con O...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 6
Desarrollo de software seguro: una visión con O...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 7
Desarrollo de software seguro: una visión con O...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 8
Desarrollo de software seguro: una visión con O...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 9
Desarrollo de software seguro: una visión con O...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 10
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 11
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 12
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 13
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 14
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 15
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 16
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 17
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 18
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 19
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 20
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 21
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 22
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 23
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 24
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 25
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 26
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 27
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 28
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 29
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 30
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 31
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 32
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 33
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 34
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 35
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 36
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 37
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 38
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 39
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 40
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 41
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 42
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 43
Desarrollo de software seguro: una visión con ...
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 44
Desarrollo de software seguro: una visión con ...
Upcoming SlideShare
Loading in …5
×

Desarrollo de software seguro: una visión con OpenSAMM

557 views
438 views

Published on

Se presenta OpenSAMM como iniciativa para ayudar a las organizaciones a diseñar e implementar una estrategia para la creación de software seguro. Los recursos facilitatos por OpenSAMM ayudan a evaluar las prácticas de seguridad existentes, demostrar mejoras concretas, definir y medir actividades relacionadas con la seguridad, así como construir un programa que garantice la seguridad en el desarrollo de software.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
557
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
28
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Desarrollo de software seguro: una visión con OpenSAMM

  1. 1. C. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 C. Arequipa, 1 I E-28043 Madrid (Spain) I Tel: +34 91 763 40 47 I Fax: +34 91 382 03 96 info@isecauditors.com I www.isecauditors.com Desarrollo de software seguro: una visión con OpenSAMM Vicente Aguilera Díaz Internet Security Auditors 09/05/2012 – Zaragoza
  2. 2. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 2 Desarrollo de software seguro: una visión con OpenSAMM ¿Quién soy? • CISA, CISSP, CSSLP, ITIL, CEH|I, ECSP|I, PCI ASV, OPSA,OPST • Socio y Director del Dpto. de Auditoría en Internet Security Auditors • OWASP Spain Chapter Leader • Miembro del Consejo Técnico Asesor de la revista RedSeguridad • Miembro del Jurado de los Trofeos de la Seguridad TIC • Colaborador en distintos proyectos (OWASP Testing Guide, WASC Threat Classification, OISSG ISSAF, WASC Articles, etc.) • Ponente en congresos del sector (ExpoQA, IGC, RedIRIS, OWASP, FIST, HackMeeting, ISACA, Respuestas SIC, AdwysCon, Infosecura, etc.) • Publicación de vulnerabilidades (Oracle, Facebook, Gmail, etc.) y artículos en medios especializados (SIC, RedSeguridad, WASC, etc.)
  3. 3. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 3 Desarrollo de software seguro: una visión con OpenSAMM Agenda 1. Necesitamos construir software seguro 2. El SDLC seguro es la clave 3. OpenSAMM como estrategia de seguridad 4. Aplicando el modelo OpenSAMM 5. Conclusiones
  4. 4. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 4 Desarrollo de software seguro: una visión con OpenSAMM 1│Necesitamos construir software seguro
  5. 5. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 5 Desarrollo de software seguro: una visión con OpenSAMM “In the 80’s we wired the world with cables and in the 90’s we wired the world with computer networks. Today we are wiring the world with applications (software). Having a skilled professional capable of designing, developing and deploying secure software is now critical to this evolving world.” Mark Curphey Director & Product Unit Manager, Microsoft Corporation Founder of Open Web Application Security Project (OWASP)
  6. 6. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 6 Desarrollo de software seguro: una visión con OpenSAMM ¿Porqué resulta ahora crítico? • Las aplicaciones web resultan muy atractivas • La trinidad de los problemas: • Conectividad • Complejidad • Extensibilidad … y existen estándares de obligado cumplimiento! (PCI DSS, SOX, GLB Act, HIPAA, FISMA, …) Nuestra vida cotidiana depende del software
  7. 7. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 7 Desarrollo de software seguro: una visión con OpenSAMM Todo es posible en la web…
  8. 8. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 8 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
  9. 9. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 9 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
  10. 10. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 10 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
  11. 11. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 11 Desarrollo de software seguro: una visión con OpenSAMM ¿Qué es software seguro? • Diseñado, construido y probado para ser seguro • Continúa ejecutándose correctamente bajo un ataque • Diseñado con el fallo en mente Romper algo es más fácil que diseñar algo para que no pueda ser roto
  12. 12. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 12 Desarrollo de software seguro: una visión con OpenSAMM ¿Qué es software seguro? Improving Web Application Security: Threats and countermeasures
  13. 13. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 13 Desarrollo de software seguro: una visión con OpenSAMM 2│El SDLC seguro es la clave
  14. 14. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 14 Desarrollo de software seguro: una visión con OpenSAMM El SDLC seguro es la clave • SDLC basado en principios de seguridad • No existe una fórmula única para todas las organizaciones • Requiere involucrar los siguientes factores: • Personas • Procesos • Tecnología SDLC genérico
  15. 15. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 15 Desarrollo de software seguro: una visión con OpenSAMM Buenas prácticas • Microsoft SDL (Secure Development Lifecycle) • OWASP CLASP (Comprehensive, Lightweight Application Security Process) • Cigital Software Security Touchpoints • OWASP OpenSAMM (Software Assurance Maturity Model) • BSIMM (Building Security In Maturity Model) • SSE CMM (Secure Software Engineering Capability Maturity Model)
  16. 16. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 16 Desarrollo de software seguro: una visión con OpenSAMM 3│OpenSAMM como estrategia de seguridad
  17. 17. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 17 Desarrollo de software seguro: una visión con OpenSAMM OWASP OpenSAMM • Marco abierto para ayudar a las organizaciones a diseñar e implementar una estrategia para la creación de software seguro • Los recursos facilitados por OpenSAMM ayudan a: • Evaluar las prácticas de seguridad existentes • Demostrar mejoras concretas • Definir y medir actividades relacionadas con la seguridad • Construir un programa de aseguramiento de la seguridad en software
  18. 18. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 18 Desarrollo de software seguro: una visión con OpenSAMM OWASP OpenSAMM
  19. 19. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 19 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Estrategia y métricas
  20. 20. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 20 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Política y cumplimiento
  21. 21. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 21 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Educación y orientación
  22. 22. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 22 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Evaluación de amenazas
  23. 23. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 23 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Requisitos de seguridad
  24. 24. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 24 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Arquitectura de seguridad
  25. 25. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 25 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Revisión de diseño
  26. 26. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 26 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Revisión de código
  27. 27. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 27 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Pruebas de seguridad
  28. 28. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 28 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Gestión de vuln.
  29. 29. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 29 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Securización del entorno
  30. 30. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 30 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Habilitación operativa
  31. 31. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 31 Desarrollo de software seguro: una visión con OpenSAMM 4│Aplicando el modelo OpenSAMM
  32. 32. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 32 Desarrollo de software seguro: una visión con OpenSAMM Aplicando OpenSAMM • Realizar una revisión inicial • Medir las prácticas de la organización frente las prácticas de seguridad definidas por el modelo • Definir el nivel de madurez actual • Dos estilos de revisiones • Ligero • Detallado
  33. 33. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 33 Desarrollo de software seguro: una visión con OpenSAMM Aplicando OpenSAMM • Construir programas de aseguramiento de la seguridad • Crear una hoja de ruta o usar una plantilla • Realizar las actividades prescritas para alcanzar el nivel de madurez esperado
  34. 34. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 34 Desarrollo de software seguro: una visión con OpenSAMM Hojas de trabajo para las revisiones
  35. 35. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 35 Desarrollo de software seguro: una visión con OpenSAMM Creando tarjetas de calificaciones • Permite demostrar la evolución • Basado en las puntuaciones asignadas a cada práctica de seguridad • Puede resultar tan simple como un conjunto de 12 puntuaciones para un momento concreto
  36. 36. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 36 Desarrollo de software seguro: una visión con OpenSAMM Hoja de ruta • Define la estrategia de implementación • Es una estrategia a largo plazo • Depende de las prioridades de cada organización
  37. 37. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 37 Desarrollo de software seguro: una visión con OpenSAMM ¿Cuáles son los beneficios? • Permite implementar las mejores prácticas utilizadas hoy y aprovechar la experiencia en su implementación • Proporciona una manera de revisar el estado de una organización y priorizar los cambios • Proporciona una manera de construir un programa de seguridad en el desarrollo mediante iteraciones claramente definidas • Permite definir y medir actividades relacionadas con la seguridad • Permite demostrar mejoras concretas en la seguridad
  38. 38. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 38 Desarrollo de software seguro: una visión con OpenSAMM 5│Conclusiones
  39. 39. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 39 Desarrollo de software seguro: una visión con OpenSAMM Conclusiones • La mayoría de los ataques se producen en la capa de aplicación • Necesitamos invertir más en la protección de nuestras aplicaciones • Necesitamos crear software seguro • Necesitamos adoptar una estrategia de seguridad para la creación de software • El software seguro es el resultado de múltiples actividades • Requiere involucrar personas, procesos y tecnología
  40. 40. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 40 Desarrollo de software seguro: una visión con OpenSAMM Conclusiones • Mejorar la seguridad del software implica un cambio cultural en la organización • Debemos cambiar la forma en la que trabaja nuestra organización
  41. 41. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 41 Desarrollo de software seguro: una visión con OpenSAMM 6│Referencias
  42. 42. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 42 Desarrollo de software seguro: una visión con OpenSAMM Referencias • Improving Web Application Security: • OWASP OpenSAMM: • The Ten Best Practices for Secure Software Development: http://www.isc2.org/uploadedFiles/(ISC)2_Public_Content/Certificat ion_Programs/CSSLP/ISC2_WPIV.pdf http://msdn.microsoft.com/en-us/library/ff649874.aspx http://www.opensamm.org • PCI Data Security Standard https://www.pcisecuritystandards.org
  43. 43. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 43 Desarrollo de software seguro: una visión con OpenSAMM ? preguntas / comentarios / sugerencias Muchas gracias por su atención!
  44. 44. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 44 Desarrollo de software seguro: una visión con OpenSAMM Su Seguridad es Nuestro Éxito Vicente Aguilera Díaz Director Departamento Auditoría Internet Security Auditors vaguilera@isecauditors.com C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 www.isecauditors.com

×