El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en inglés) es una comunidad libre y abierta enfocada en mejorar la seguridad de los programas aplicativos.
Nuestra misión es hacer la seguridad en aplicaciones “visible”, de manera que las personas y organizaciones puedan tomar decisiones informadas sobre los riesgos de seguridad en aplicaciones.
Este webinar pretende precisamente brindar un acercamiento a un marco de trabajo abierto que apoye a las organizaciones a formular e implementar una estrategia de seguridad para software adecuada a las necesidades específicas que está enfrentado la organización.
2. www.sgcampus.com.mx @sgcampus
Agenda
• Un vistazo a la seguridad en el software.
• ¿Cuáles son las estrategias actuales para el aseguramiento
del software y su problemática?
• ¿Qué es un modelo de madurez de aseguramiento de
software?
• ¿Cómo implemento un modelo de madurez de
aseguramiento de software en mi organización?
5. www.sgcampus.com.mx @sgcampus
Algunas cifras…
•75% de los incidentes de
seguridad son causados por
fallas en las aplicaciones
(Gartner).
•92% de las vulnerabilidades
se encuentran en las
aplicaciones (NIST).
• El porcentaje de ataques
dirigidos a aplicativos se
incrementó del 2% al 33%
(The United States Air Force).
• Entre el 50 y 60% de los
ataques aplicativos provienen
desde el interior de las
organizaciones.
13. www.sgcampus.com.mx @sgcampus
¿Cuáles son las estrategias actuales
para el aseguramiento del software?
Estrategias actuales
• Políticas de seguridad
• Revisiones de código fuente
• Pruebas de seguridad
–AV/PT
–Fuzzing
• Herramientas de seguridad
–WAF
Áreas de oportunidad
• No se cubre el ciclo completo de
desarrollo de software.
• Enfoque reactivo.
• Tiempo de ejecución alto.
• Las políticas de seguridad en el
software generalmente no son
actualizadas regularmente.
• No se cuenta con personal
capacitado en las organizaciones.
15. www.sgcampus.com.mx @sgcampus
OpenSAMM
Por sus siglas en inglés Software Assurance Maturity
Model; es un marco de trabajo que le permite a las
organizaciones:
• formular,
• conjuntar, e
• implementar
una estrategia integral de seguridad en el
software adecuada a los riesgos que enfrenta cada
organización.
16. www.sgcampus.com.mx @sgcampus
Su propósito
• Evaluar las prácticas de seguridad en el software
existentes en una organización.
• Construir un programa de aseguramiento de software
flexible y balanceado en iteraciones bien definidas.
• Demostrar de manera concreta las mejoras en el programa
de aseguramiento del software.
• Definir y medir actividades relacionadas en la seguridad en
el software en la organización.
18. www.sgcampus.com.mx @sgcampus
Estructura de OpenSAMM
Gobierno Construcción Verificación Implementación
Funcionesde
negocio
Prácticasdeseguridad
Estrategia y
métricas
Educación y
orientación
Política y
cumplimiento
Requisitos de
seguridad
Evaluación de la
amenaza
Arquitectura de
seguridad
Revisión de
diseño
Pruebas de
seguridad
Revisión de
código
Fortalecimiento
del ambiente
Admón. de
vulnerabilidades
Habilitación
operativa
19. www.sgcampus.com.mx @sgcampus
Practicas de seguridad
GOBIERNO
Estrategia y métricas Política y cumplimiento Educación y
orientación
Involucra la dirección
estratégica del programa
de aseguramiento y las
actividades para recolectar
métricas acerca de la
postura de seguridad en el
software de una
organización.
Establecer una estructura
de control y auditoría de
seguridad para cumplir
con los marcos regulatorios
en el software.
Incrementar el
conocimiento de
seguridad entre el
personal de
desarrollo de
software.
20. www.sgcampus.com.mx @sgcampus
Practicas de seguridad
CONSTRUCCIÓN
Evaluación de la amenaza Requisitos de seguridad Arquitectura de
seguridad
Identificar y caracterizar
con precisión los ataques
potenciales contra el
software en una
organización.
Promover la inclusión de
las necesidades de
seguridad en el proceso
de desarrollo de software.
Fortalecer el
proceso de diseño
de componentes
arquitectónicos o
comúnmente
utilizados en el
desarrollo de
software.
21. www.sgcampus.com.mx @sgcampus
Practicas de seguridad
VERIFICACIÓN
Revisión de diseño Revisión de código Pruebas de
seguridad
Inspeccionar los
artefactos
arquitectónicos creados
para corroborar que
cumplan con las
expectativas de seguridad.
Evaluar el código fuente
de las aplicaciones de la
organización en busca de
vulnerabilidades.
Probar el software
en su ambiente de
ejecución para la
identificación de
vulnerabilidades.
22. www.sgcampus.com.mx @sgcampus
Practicas de seguridad
IMPLEMENTACIÓN
Fortalecimiento del
ambiente
Administración de las
vulnerabilidades
Habilitación
operativa
Implementar controles
para el ambiente operativo
que rodea al software para
reforzar la postura de
seguridad de la
organización.
Establecer procesos
consistentes para
administrar reportes
(internos/externos) para
limitar la exposición del
software, recopilar
información y de esa
forma mejorar el modelo.
Identificar y
capturar
información
relevante a la
seguridad del que
necesita un
operador para
configurar,
instalar y ejecutar
el software.
23. www.sgcampus.com.mx @sgcampus
¿Qué nivel de madurez tengo?
Nivel 0
• Punto de inicio, las actividades mencionadas en la
práctica de seguridad no se han realizado.
Nivel 1
• Existe un entendimiento inicial y una provisión de
tipo “ad hoc” de la práctica de seguridad.
Nivel 2
• Incremento de la eficiencia y/o efectividad de la
práctica de seguridad.
Nivel 3
• Dominio amplio de la práctica de seguridad.
26. www.sgcampus.com.mx @sgcampus
Evaluación inicial
• OWASP Ciudad de México está liberando un documento para la
evaluación inicial para la implementación de un modelo de madurez de
aseguramiento del software (SAMM).
27. www.sgcampus.com.mx @sgcampus
Invitación y contacto
• Capítulo Cd. de México
https://www.owasp.org/index.php?title=Mexico_City
• Lista de distribución
https://lists.owasp.org/mailman/listinfo/owasp-mexicocity
• Correo electrónico
carlos.sagrero@owasp.org (Líder Capítulo Ciudad de México)
jpcarsi@owasp.org
• Maguey ATF
http://sourceforge.net/projects/maguey/