SlideShare a Scribd company logo

Modelo de madurez de aseguramiento de software

Software Guru
Software Guru

El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en inglés) es una comunidad libre y abierta enfocada en mejorar la seguridad de los programas aplicativos. Nuestra misión es hacer la seguridad en aplicaciones “visible”, de manera que las personas y organizaciones puedan tomar decisiones informadas sobre los riesgos de seguridad en aplicaciones. Este webinar pretende precisamente brindar un acercamiento a un marco de trabajo abierto que apoye a las organizaciones a formular e implementar una estrategia de seguridad para software adecuada a las necesidades específicas que está enfrentado la organización.

Government & Nonprofit
1 of 29
www.sgcampus.com.mx @sgcampus www.sgcampus.com.mx @sgcampus Juan Pablo Carsi Modelo de madurez de aseguramiento de software
www.sgcampus.com.mx @sgcampus Agenda • Un vistazo a la seguridad en el software. • ¿Cuáles son las estrategias actuales para el aseguramiento del software y su problemática? • ¿Qué es un modelo de madurez de aseguramiento de software? • ¿Cómo implemento un modelo de madurez de aseguramiento de software en mi organización?
www.sgcampus.com.mx @sgcampus
www.sgcampus.com.mx @sgcampus Un vistazo a la seguridad en el software
www.sgcampus.com.mx @sgcampus Algunas cifras… •75% de los incidentes de seguridad son causados por fallas en las aplicaciones (Gartner). •92% de las vulnerabilidades se encuentran en las aplicaciones (NIST). • El porcentaje de ataques dirigidos a aplicativos se incrementó del 2% al 33% (The United States Air Force). • Entre el 50 y 60% de los ataques aplicativos provienen desde el interior de las organizaciones.
www.sgcampus.com.mx @sgcampus ¿Qué tan difícil es?
www.sgcampus.com.mx @sgcampus
www.sgcampus.com.mx @sgcampus Estadísticas Costo de la fuga de información Ponemon 2014 Annual Study Cost of a Data Breach
www.sgcampus.com.mx @sgcampus Estadísticas Promedio de registros comprometidos por fuga de información Ponemon 2014 Annual Study Cost of a Data Breach
www.sgcampus.com.mx @sgcampus Estadísticas Costo promedio por registro comprometido Ponemon 2014 Annual Study Cost of a Data Breach
www.sgcampus.com.mx @sgcampus Estadísticas Costo de mitigación Hewlett Packard
www.sgcampus.com.mx @sgcampus ¿Cuáles son las estrategias actuales para el aseguramiento del software?
www.sgcampus.com.mx @sgcampus ¿Cuáles son las estrategias actuales para el aseguramiento del software? Estrategias actuales • Políticas de seguridad • Revisiones de código fuente • Pruebas de seguridad –AV/PT –Fuzzing • Herramientas de seguridad –WAF Áreas de oportunidad • No se cubre el ciclo completo de desarrollo de software. • Enfoque reactivo. • Tiempo de ejecución alto. • Las políticas de seguridad en el software generalmente no son actualizadas regularmente. • No se cuenta con personal capacitado en las organizaciones.
www.sgcampus.com.mx @sgcampus ¿Qué es un modelo de madurez de aseguramiento de software?
www.sgcampus.com.mx @sgcampus OpenSAMM Por sus siglas en inglés Software Assurance Maturity Model; es un marco de trabajo que le permite a las organizaciones: • formular, • conjuntar, e • implementar una estrategia integral de seguridad en el software adecuada a los riesgos que enfrenta cada organización.
www.sgcampus.com.mx @sgcampus Su propósito • Evaluar las prácticas de seguridad en el software existentes en una organización. • Construir un programa de aseguramiento de software flexible y balanceado en iteraciones bien definidas. • Demostrar de manera concreta las mejoras en el programa de aseguramiento del software. • Definir y medir actividades relacionadas en la seguridad en el software en la organización.
www.sgcampus.com.mx @sgcampus Estructura del modelo de madurez de aseguramiento del software
www.sgcampus.com.mx @sgcampus Estructura de OpenSAMM Gobierno Construcción Verificación Implementación Funcionesde negocio Prácticasdeseguridad Estrategia y métricas Educación y orientación Política y cumplimiento Requisitos de seguridad Evaluación de la amenaza Arquitectura de seguridad Revisión de diseño Pruebas de seguridad Revisión de código Fortalecimiento del ambiente Admón. de vulnerabilidades Habilitación operativa
www.sgcampus.com.mx @sgcampus Practicas de seguridad GOBIERNO Estrategia y métricas Política y cumplimiento Educación y orientación Involucra la dirección estratégica del programa de aseguramiento y las actividades para recolectar métricas acerca de la postura de seguridad en el software de una organización. Establecer una estructura de control y auditoría de seguridad para cumplir con los marcos regulatorios en el software. Incrementar el conocimiento de seguridad entre el personal de desarrollo de software.
www.sgcampus.com.mx @sgcampus Practicas de seguridad CONSTRUCCIÓN Evaluación de la amenaza Requisitos de seguridad Arquitectura de seguridad Identificar y caracterizar con precisión los ataques potenciales contra el software en una organización. Promover la inclusión de las necesidades de seguridad en el proceso de desarrollo de software. Fortalecer el proceso de diseño de componentes arquitectónicos o comúnmente utilizados en el desarrollo de software.
www.sgcampus.com.mx @sgcampus Practicas de seguridad VERIFICACIÓN Revisión de diseño Revisión de código Pruebas de seguridad Inspeccionar los artefactos arquitectónicos creados para corroborar que cumplan con las expectativas de seguridad. Evaluar el código fuente de las aplicaciones de la organización en busca de vulnerabilidades. Probar el software en su ambiente de ejecución para la identificación de vulnerabilidades.
www.sgcampus.com.mx @sgcampus Practicas de seguridad IMPLEMENTACIÓN Fortalecimiento del ambiente Administración de las vulnerabilidades Habilitación operativa Implementar controles para el ambiente operativo que rodea al software para reforzar la postura de seguridad de la organización. Establecer procesos consistentes para administrar reportes (internos/externos) para limitar la exposición del software, recopilar información y de esa forma mejorar el modelo. Identificar y capturar información relevante a la seguridad del que necesita un operador para configurar, instalar y ejecutar el software.
www.sgcampus.com.mx @sgcampus ¿Qué nivel de madurez tengo? Nivel 0 • Punto de inicio, las actividades mencionadas en la práctica de seguridad no se han realizado. Nivel 1 • Existe un entendimiento inicial y una provisión de tipo “ad hoc” de la práctica de seguridad. Nivel 2 • Incremento de la eficiencia y/o efectividad de la práctica de seguridad. Nivel 3 • Dominio amplio de la práctica de seguridad.
www.sgcampus.com.mx @sgcampus ¿Cómo implemento un modelo de madurez de aseguramiento de software en mi organización?
www.sgcampus.com.mx @sgcampus SAMM visto desde ciclo de desarrollo de software
www.sgcampus.com.mx @sgcampus Evaluación inicial • OWASP Ciudad de México está liberando un documento para la evaluación inicial para la implementación de un modelo de madurez de aseguramiento del software (SAMM).
www.sgcampus.com.mx @sgcampus Invitación y contacto • Capítulo Cd. de México https://www.owasp.org/index.php?title=Mexico_City • Lista de distribución https://lists.owasp.org/mailman/listinfo/owasp-mexicocity • Correo electrónico carlos.sagrero@owasp.org (Líder Capítulo Ciudad de México) jpcarsi@owasp.org • Maguey ATF http://sourceforge.net/projects/maguey/
www.sgcampus.com.mx @sgcampus Preguntas
www.sgcampus.com.mx @sgcampus Gracias

Recommended

Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
Gabriel Marcos
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
eccutpl
 
Web Application Penetration Testing - 101
Web Application Penetration Testing - 101Web Application Penetration Testing - 101
Web Application Penetration Testing - 101
Andrea Hauser
 
Information security: importance of having defined policy & process
Information security: importance of having defined policy & processInformation security: importance of having defined policy & process
Information security: importance of having defined policy & process
Information Technology Society Nepal
 
penetration testing
penetration testingpenetration testing
penetration testing
Shitesh Sachan
 
Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadSistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De Seguridad
Chema Alonso
 
Ejercicio No.1: Introducción a Kali Linux
Ejercicio No.1: Introducción a Kali LinuxEjercicio No.1: Introducción a Kali Linux
Ejercicio No.1: Introducción a Kali Linux
Francisco Medina
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
Abby Ramirez
 

Recommended

Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
Gabriel Marcos
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
eccutpl
 
Web Application Penetration Testing - 101
Web Application Penetration Testing - 101Web Application Penetration Testing - 101
Web Application Penetration Testing - 101
Andrea Hauser
 
Information security: importance of having defined policy & process
Information security: importance of having defined policy & processInformation security: importance of having defined policy & process
Information security: importance of having defined policy & process
Information Technology Society Nepal
 
penetration testing
penetration testingpenetration testing
penetration testing
Shitesh Sachan
 
Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadSistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De Seguridad
Chema Alonso
 
Ejercicio No.1: Introducción a Kali Linux
Ejercicio No.1: Introducción a Kali LinuxEjercicio No.1: Introducción a Kali Linux
Ejercicio No.1: Introducción a Kali Linux
Francisco Medina
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
Abby Ramirez
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
Fabián Descalzo
 
Understanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for OrganizationUnderstanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for Organization
PECB
 
Security Testing for Web Application
Security Testing for Web ApplicationSecurity Testing for Web Application
Security Testing for Web Application
Precise Testing Solution
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
Mateo Martinez
 
Application Security
Application SecurityApplication Security
Application Security
Reggie Niccolo Santos
 
Cyber Security Needs and Challenges
Cyber Security Needs and ChallengesCyber Security Needs and Challenges
Cyber Security Needs and Challenges
Happiest Minds Technologies
 
Malware analysis _ Threat Intelligence Morocco
Malware analysis _ Threat Intelligence MoroccoMalware analysis _ Threat Intelligence Morocco
Malware analysis _ Threat Intelligence Morocco
Touhami Kasbaoui
 
AppSec & DevSecOps Metrics: Key Performance Indicators (KPIs) to Measure Success
AppSec & DevSecOps Metrics: Key Performance Indicators (KPIs) to Measure SuccessAppSec & DevSecOps Metrics: Key Performance Indicators (KPIs) to Measure Success
AppSec & DevSecOps Metrics: Key Performance Indicators (KPIs) to Measure Success
Robert Grupe, CSSLP CISSP PE PMP
 
Detection and Response Roles
Detection and Response RolesDetection and Response Roles
Detection and Response Roles
Florian Roth
 
Application Threat Modeling
Application Threat ModelingApplication Threat Modeling
Application Threat Modeling
Marco Morana
 
What is security testing and why it is so important?
What is security testing and why it is so important?What is security testing and why it is so important?
What is security testing and why it is so important?
ONE BCG
 
Cscu module 01 foundations of security
Cscu module 01 foundations of securityCscu module 01 foundations of security
Cscu module 01 foundations of security
Sejahtera Affif
 
Static Application Security Testing Strategies for Automation and Continuous ...
Static Application Security Testing Strategies for Automation and Continuous ...Static Application Security Testing Strategies for Automation and Continuous ...
Static Application Security Testing Strategies for Automation and Continuous ...
Kevin Fealey
 
How to Shot Web - Jason Haddix at DEFCON 23 - See it Live: Details in Descrip...
How to Shot Web - Jason Haddix at DEFCON 23 - See it Live: Details in Descrip...How to Shot Web - Jason Haddix at DEFCON 23 - See it Live: Details in Descrip...
How to Shot Web - Jason Haddix at DEFCON 23 - See it Live: Details in Descrip...
bugcrowd
 
Security in the Software Development Life Cycle (SDLC)
Security in the Software Development Life Cycle (SDLC)Security in the Software Development Life Cycle (SDLC)
Security in the Software Development Life Cycle (SDLC)
Frances Coronel
 
Aseguramiento control calidad-software
Aseguramiento control calidad-softwareAseguramiento control calidad-software
Aseguramiento control calidad-software
CBISOE
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 
SOC Cyber Security
SOC Cyber SecuritySOC Cyber Security
SOC Cyber Security
Steppa Cyber Security
 
Cyber threat intelligence: maturity and metrics
Cyber threat intelligence: maturity and metricsCyber threat intelligence: maturity and metrics
Cyber threat intelligence: maturity and metrics
Mark Arena
 
Real World Application Threat Modelling By Example
Real World Application Threat Modelling By ExampleReal World Application Threat Modelling By Example
Real World Application Threat Modelling By Example
NCC Group
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
CLARIBELVILLARREAL
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actual
Jaime Restrepo
 

More Related Content

What's hot

Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
Fabián Descalzo
 
Understanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for OrganizationUnderstanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for Organization
PECB
 
Application Threat Modeling
Application Threat ModelingApplication Threat Modeling
Application Threat Modeling
Marco Morana
 
Cscu module 01 foundations of security
Cscu module 01 foundations of securityCscu module 01 foundations of security
Cscu module 01 foundations of security
Sejahtera Affif
 
Aseguramiento control calidad-software
Aseguramiento control calidad-softwareAseguramiento control calidad-software
Aseguramiento control calidad-software
CBISOE
 

What's hot (20)

Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
Understanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for OrganizationUnderstanding Penetration Testing & its Benefits for Organization
Understanding Penetration Testing & its Benefits for Organization
 
Security Testing for Web Application
Security Testing for Web ApplicationSecurity Testing for Web Application
Security Testing for Web Application
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
Application Security
Application SecurityApplication Security
Application Security
 
Cyber Security Needs and Challenges
Cyber Security Needs and ChallengesCyber Security Needs and Challenges
Cyber Security Needs and Challenges
 
Malware analysis _ Threat Intelligence Morocco
Malware analysis _ Threat Intelligence MoroccoMalware analysis _ Threat Intelligence Morocco
Malware analysis _ Threat Intelligence Morocco
 
AppSec & DevSecOps Metrics: Key Performance Indicators (KPIs) to Measure Success
AppSec & DevSecOps Metrics: Key Performance Indicators (KPIs) to Measure SuccessAppSec & DevSecOps Metrics: Key Performance Indicators (KPIs) to Measure Success
AppSec & DevSecOps Metrics: Key Performance Indicators (KPIs) to Measure Success
 
Detection and Response Roles
Detection and Response RolesDetection and Response Roles
Detection and Response Roles
 
Application Threat Modeling
Application Threat ModelingApplication Threat Modeling
Application Threat Modeling
 
What is security testing and why it is so important?
What is security testing and why it is so important?What is security testing and why it is so important?
What is security testing and why it is so important?
 
Cscu module 01 foundations of security
Cscu module 01 foundations of securityCscu module 01 foundations of security
Cscu module 01 foundations of security
 
Static Application Security Testing Strategies for Automation and Continuous ...
Static Application Security Testing Strategies for Automation and Continuous ...Static Application Security Testing Strategies for Automation and Continuous ...
Static Application Security Testing Strategies for Automation and Continuous ...
 
How to Shot Web - Jason Haddix at DEFCON 23 - See it Live: Details in Descrip...
How to Shot Web - Jason Haddix at DEFCON 23 - See it Live: Details in Descrip...How to Shot Web - Jason Haddix at DEFCON 23 - See it Live: Details in Descrip...
How to Shot Web - Jason Haddix at DEFCON 23 - See it Live: Details in Descrip...
 
Security in the Software Development Life Cycle (SDLC)
Security in the Software Development Life Cycle (SDLC)Security in the Software Development Life Cycle (SDLC)
Security in the Software Development Life Cycle (SDLC)
 
Aseguramiento control calidad-software
Aseguramiento control calidad-softwareAseguramiento control calidad-software
Aseguramiento control calidad-software
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
SOC Cyber Security
SOC Cyber SecuritySOC Cyber Security
SOC Cyber Security
 
Cyber threat intelligence: maturity and metrics
Cyber threat intelligence: maturity and metricsCyber threat intelligence: maturity and metrics
Cyber threat intelligence: maturity and metrics
 
Real World Application Threat Modelling By Example
Real World Application Threat Modelling By ExampleReal World Application Threat Modelling By Example
Real World Application Threat Modelling By Example
 

Similar to Modelo de madurez de aseguramiento de software

Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actual
Jaime Restrepo
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Ramiro Carballo
 

Similar to Modelo de madurez de aseguramiento de software (20)

empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actual
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
 
Mvp cluster auditoria ambientes share point (1)
Mvp cluster auditoria ambientes share point (1)Mvp cluster auditoria ambientes share point (1)
Mvp cluster auditoria ambientes share point (1)
 
SeguridadAuditoria.pptx
SeguridadAuditoria.pptxSeguridadAuditoria.pptx
SeguridadAuditoria.pptx
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativa
 
Calidad de softaware
Calidad de softawareCalidad de softaware
Calidad de softaware
 
Trabajo final cmm
Trabajo final cmmTrabajo final cmm
Trabajo final cmm
 
Unidad 5
Unidad 5Unidad 5
Unidad 5
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Programa de formación
Programa de formaciónPrograma de formación
Programa de formación
 
Pack online seguridad
Pack online seguridadPack online seguridad
Pack online seguridad
 
Ensayo de Diseño de Software
Ensayo de Diseño de SoftwareEnsayo de Diseño de Software
Ensayo de Diseño de Software
 
Pruebas De Seguridad Aplicadas a QA
Pruebas De Seguridad Aplicadas a QAPruebas De Seguridad Aplicadas a QA
Pruebas De Seguridad Aplicadas a QA
 
Aseguramiento de la Calidad
Aseguramiento de la CalidadAseguramiento de la Calidad
Aseguramiento de la Calidad
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguro
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.
 
Lineas de productos de software y metodo watch
Lineas de productos de software y metodo watchLineas de productos de software y metodo watch
Lineas de productos de software y metodo watch
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling Tool
 

More from Software Guru

More from Software Guru (20)

Hola Mundo del Internet de las Cosas
Hola Mundo del Internet de las CosasHola Mundo del Internet de las Cosas
Hola Mundo del Internet de las Cosas
 
Estructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso realesEstructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso reales
 
Building bias-aware environments
Building bias-aware environmentsBuilding bias-aware environments
Building bias-aware environments
 
El secreto para ser un desarrollador Senior
El secreto para ser un desarrollador SeniorEl secreto para ser un desarrollador Senior
El secreto para ser un desarrollador Senior
 
Cómo encontrar el trabajo remoto ideal
Cómo encontrar el trabajo remoto idealCómo encontrar el trabajo remoto ideal
Cómo encontrar el trabajo remoto ideal
 
Automatizando ideas con Apache Airflow
Automatizando ideas con Apache AirflowAutomatizando ideas con Apache Airflow
Automatizando ideas con Apache Airflow
 
How thick data can improve big data analysis for business:
How thick data can improve big data analysis for business:How thick data can improve big data analysis for business:
How thick data can improve big data analysis for business:
 
Introducción al machine learning
Introducción al machine learningIntroducción al machine learning
Introducción al machine learning
 
Democratizando el uso de CoDi
Democratizando el uso de CoDiDemocratizando el uso de CoDi
Democratizando el uso de CoDi
 
Gestionando la felicidad de los equipos con Management 3.0
Gestionando la felicidad de los equipos con Management 3.0Gestionando la felicidad de los equipos con Management 3.0
Gestionando la felicidad de los equipos con Management 3.0
 
Taller: Creación de Componentes Web re-usables con StencilJS
Taller: Creación de Componentes Web re-usables con StencilJSTaller: Creación de Componentes Web re-usables con StencilJS
Taller: Creación de Componentes Web re-usables con StencilJS
 
El camino del full stack developer (o como hacemos en SERTI para que no solo ...
El camino del full stack developer (o como hacemos en SERTI para que no solo ...El camino del full stack developer (o como hacemos en SERTI para que no solo ...
El camino del full stack developer (o como hacemos en SERTI para que no solo ...
 
¿Qué significa ser un programador en Bitso?
¿Qué significa ser un programador en Bitso?¿Qué significa ser un programador en Bitso?
¿Qué significa ser un programador en Bitso?
 
Colaboración efectiva entre desarrolladores del cliente y tu equipo.
Colaboración efectiva entre desarrolladores del cliente y tu equipo.Colaboración efectiva entre desarrolladores del cliente y tu equipo.
Colaboración efectiva entre desarrolladores del cliente y tu equipo.
 
Pruebas de integración con Docker en Azure DevOps
Pruebas de integración con Docker en Azure DevOpsPruebas de integración con Docker en Azure DevOps
Pruebas de integración con Docker en Azure DevOps
 
Elixir + Elm: Usando lenguajes funcionales en servicios productivos
Elixir + Elm: Usando lenguajes funcionales en servicios productivosElixir + Elm: Usando lenguajes funcionales en servicios productivos
Elixir + Elm: Usando lenguajes funcionales en servicios productivos
 
Así publicamos las apps de Spotify sin stress
Así publicamos las apps de Spotify sin stressAsí publicamos las apps de Spotify sin stress
Así publicamos las apps de Spotify sin stress
 
Achieving Your Goals: 5 Tips to successfully achieve your goals
Achieving Your Goals: 5 Tips to successfully achieve your goalsAchieving Your Goals: 5 Tips to successfully achieve your goals
Achieving Your Goals: 5 Tips to successfully achieve your goals
 
Acciones de comunidades tech en tiempos del Covid19
Acciones de comunidades tech en tiempos del Covid19Acciones de comunidades tech en tiempos del Covid19
Acciones de comunidades tech en tiempos del Covid19
 
De lo operativo a lo estratégico: un modelo de management de diseño
De lo operativo a lo estratégico: un modelo de management de diseñoDe lo operativo a lo estratégico: un modelo de management de diseño
De lo operativo a lo estratégico: un modelo de management de diseño
 

Recently uploaded

COMO ANALIZAR LA COYUNTURA 2024 ANALISIS ECONOMICO Y POLITICO.pdf
COMO ANALIZAR LA COYUNTURA 2024 ANALISIS ECONOMICO Y POLITICO.pdfCOMO ANALIZAR LA COYUNTURA 2024 ANALISIS ECONOMICO Y POLITICO.pdf
COMO ANALIZAR LA COYUNTURA 2024 ANALISIS ECONOMICO Y POLITICO.pdf
MilkyWive
 
Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...
Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...
Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...
m4Social
 
TIPOS DE CONTROL INTERNO, LEY 27785.pptx
TIPOS DE CONTROL INTERNO, LEY 27785.pptxTIPOS DE CONTROL INTERNO, LEY 27785.pptx
TIPOS DE CONTROL INTERNO, LEY 27785.pptx
danitzaflores135
 

Recently uploaded (15)

005. - Curso de modernización del Estado 2024.pdf
005. - Curso de modernización del Estado 2024.pdf005. - Curso de modernización del Estado 2024.pdf
005. - Curso de modernización del Estado 2024.pdf
 
COMO ANALIZAR LA COYUNTURA 2024 ANALISIS ECONOMICO Y POLITICO.pdf
COMO ANALIZAR LA COYUNTURA 2024 ANALISIS ECONOMICO Y POLITICO.pdfCOMO ANALIZAR LA COYUNTURA 2024 ANALISIS ECONOMICO Y POLITICO.pdf
COMO ANALIZAR LA COYUNTURA 2024 ANALISIS ECONOMICO Y POLITICO.pdf
 
HACIEDA MUNICIPAL 1ER TRIMESTRE 2024.pdf
HACIEDA MUNICIPAL 1ER TRIMESTRE 2024.pdfHACIEDA MUNICIPAL 1ER TRIMESTRE 2024.pdf
HACIEDA MUNICIPAL 1ER TRIMESTRE 2024.pdf
 
Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...
Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...
Radar de algoritmos de IA y procesos de decisión automatizada para el acceso ...
 
Decreto Ejecutivo 255 Reglamento de Seguridad y Salud en el Trabajo
Decreto Ejecutivo 255 Reglamento de Seguridad y Salud en el TrabajoDecreto Ejecutivo 255 Reglamento de Seguridad y Salud en el Trabajo
Decreto Ejecutivo 255 Reglamento de Seguridad y Salud en el Trabajo
 
el nuevo sistema de salud latinoamerica.pptx
el nuevo sistema de salud latinoamerica.pptxel nuevo sistema de salud latinoamerica.pptx
el nuevo sistema de salud latinoamerica.pptx
 
TIPOS DE CONTROL INTERNO, LEY 27785.pptx
TIPOS DE CONTROL INTERNO, LEY 27785.pptxTIPOS DE CONTROL INTERNO, LEY 27785.pptx
TIPOS DE CONTROL INTERNO, LEY 27785.pptx
 
Club Rotario Cartago - Revista 04-2024.pdf
Club Rotario Cartago - Revista 04-2024.pdfClub Rotario Cartago - Revista 04-2024.pdf
Club Rotario Cartago - Revista 04-2024.pdf
 
110º ANIVERSARIO DE CITY BELL: CELEBRACIÓN INTEGRADORA PARA LA COMUNIDAD
110º ANIVERSARIO DE CITY BELL: CELEBRACIÓN INTEGRADORA PARA LA COMUNIDAD110º ANIVERSARIO DE CITY BELL: CELEBRACIÓN INTEGRADORA PARA LA COMUNIDAD
110º ANIVERSARIO DE CITY BELL: CELEBRACIÓN INTEGRADORA PARA LA COMUNIDAD
 
Mapa Mental Edad media y evolución de la ciudadanía
Mapa Mental Edad media y evolución de la ciudadaníaMapa Mental Edad media y evolución de la ciudadanía
Mapa Mental Edad media y evolución de la ciudadanía
 
¿Cuáles son los desafíos que enfrentan los periodistas al investigar sobre el...
¿Cuáles son los desafíos que enfrentan los periodistas al investigar sobre el...¿Cuáles son los desafíos que enfrentan los periodistas al investigar sobre el...
¿Cuáles son los desafíos que enfrentan los periodistas al investigar sobre el...
 
2023 - HOSTIGAMIENTO SEXUAL - DIAPOSITIVAS.ppt
2023 - HOSTIGAMIENTO SEXUAL - DIAPOSITIVAS.ppt2023 - HOSTIGAMIENTO SEXUAL - DIAPOSITIVAS.ppt
2023 - HOSTIGAMIENTO SEXUAL - DIAPOSITIVAS.ppt
 
SEGUNDO PISO UN ABISMO. RAZONES PARA NO VOTAR POR MORENA
SEGUNDO PISO UN ABISMO. RAZONES PARA NO VOTAR POR MORENASEGUNDO PISO UN ABISMO. RAZONES PARA NO VOTAR POR MORENA
SEGUNDO PISO UN ABISMO. RAZONES PARA NO VOTAR POR MORENA
 
PROTOCOLO DE RESPUESTA PARA LLAMADAS DE EMERGENCIA AL 911.docx
PROTOCOLO DE RESPUESTA PARA LLAMADAS DE EMERGENCIA AL 911.docxPROTOCOLO DE RESPUESTA PARA LLAMADAS DE EMERGENCIA AL 911.docx
PROTOCOLO DE RESPUESTA PARA LLAMADAS DE EMERGENCIA AL 911.docx
 
Constitucion y derechos humanos sesion 1.pptx
Constitucion y derechos humanos sesion 1.pptxConstitucion y derechos humanos sesion 1.pptx
Constitucion y derechos humanos sesion 1.pptx
 

Modelo de madurez de aseguramiento de software

  • 1. www.sgcampus.com.mx @sgcampus www.sgcampus.com.mx @sgcampus Juan Pablo Carsi Modelo de madurez de aseguramiento de software
  • 2. www.sgcampus.com.mx @sgcampus Agenda • Un vistazo a la seguridad en el software. • ¿Cuáles son las estrategias actuales para el aseguramiento del software y su problemática? • ¿Qué es un modelo de madurez de aseguramiento de software? • ¿Cómo implemento un modelo de madurez de aseguramiento de software en mi organización?
  • 4. www.sgcampus.com.mx @sgcampus Un vistazo a la seguridad en el software
  • 5. www.sgcampus.com.mx @sgcampus Algunas cifras… •75% de los incidentes de seguridad son causados por fallas en las aplicaciones (Gartner). •92% de las vulnerabilidades se encuentran en las aplicaciones (NIST). • El porcentaje de ataques dirigidos a aplicativos se incrementó del 2% al 33% (The United States Air Force). • Entre el 50 y 60% de los ataques aplicativos provienen desde el interior de las organizaciones.
  • 8. www.sgcampus.com.mx @sgcampus Estadísticas Costo de la fuga de información Ponemon 2014 Annual Study Cost of a Data Breach
  • 9. www.sgcampus.com.mx @sgcampus Estadísticas Promedio de registros comprometidos por fuga de información Ponemon 2014 Annual Study Cost of a Data Breach
  • 10. www.sgcampus.com.mx @sgcampus Estadísticas Costo promedio por registro comprometido Ponemon 2014 Annual Study Cost of a Data Breach
  • 12. www.sgcampus.com.mx @sgcampus ¿Cuáles son las estrategias actuales para el aseguramiento del software?
  • 13. www.sgcampus.com.mx @sgcampus ¿Cuáles son las estrategias actuales para el aseguramiento del software? Estrategias actuales • Políticas de seguridad • Revisiones de código fuente • Pruebas de seguridad –AV/PT –Fuzzing • Herramientas de seguridad –WAF Áreas de oportunidad • No se cubre el ciclo completo de desarrollo de software. • Enfoque reactivo. • Tiempo de ejecución alto. • Las políticas de seguridad en el software generalmente no son actualizadas regularmente. • No se cuenta con personal capacitado en las organizaciones.
  • 14. www.sgcampus.com.mx @sgcampus ¿Qué es un modelo de madurez de aseguramiento de software?
  • 15. www.sgcampus.com.mx @sgcampus OpenSAMM Por sus siglas en inglés Software Assurance Maturity Model; es un marco de trabajo que le permite a las organizaciones: • formular, • conjuntar, e • implementar una estrategia integral de seguridad en el software adecuada a los riesgos que enfrenta cada organización.
  • 16. www.sgcampus.com.mx @sgcampus Su propósito • Evaluar las prácticas de seguridad en el software existentes en una organización. • Construir un programa de aseguramiento de software flexible y balanceado en iteraciones bien definidas. • Demostrar de manera concreta las mejoras en el programa de aseguramiento del software. • Definir y medir actividades relacionadas en la seguridad en el software en la organización.
  • 17. www.sgcampus.com.mx @sgcampus Estructura del modelo de madurez de aseguramiento del software
  • 18. www.sgcampus.com.mx @sgcampus Estructura de OpenSAMM Gobierno Construcción Verificación Implementación Funcionesde negocio Prácticasdeseguridad Estrategia y métricas Educación y orientación Política y cumplimiento Requisitos de seguridad Evaluación de la amenaza Arquitectura de seguridad Revisión de diseño Pruebas de seguridad Revisión de código Fortalecimiento del ambiente Admón. de vulnerabilidades Habilitación operativa
  • 19. www.sgcampus.com.mx @sgcampus Practicas de seguridad GOBIERNO Estrategia y métricas Política y cumplimiento Educación y orientación Involucra la dirección estratégica del programa de aseguramiento y las actividades para recolectar métricas acerca de la postura de seguridad en el software de una organización. Establecer una estructura de control y auditoría de seguridad para cumplir con los marcos regulatorios en el software. Incrementar el conocimiento de seguridad entre el personal de desarrollo de software.
  • 20. www.sgcampus.com.mx @sgcampus Practicas de seguridad CONSTRUCCIÓN Evaluación de la amenaza Requisitos de seguridad Arquitectura de seguridad Identificar y caracterizar con precisión los ataques potenciales contra el software en una organización. Promover la inclusión de las necesidades de seguridad en el proceso de desarrollo de software. Fortalecer el proceso de diseño de componentes arquitectónicos o comúnmente utilizados en el desarrollo de software.
  • 21. www.sgcampus.com.mx @sgcampus Practicas de seguridad VERIFICACIÓN Revisión de diseño Revisión de código Pruebas de seguridad Inspeccionar los artefactos arquitectónicos creados para corroborar que cumplan con las expectativas de seguridad. Evaluar el código fuente de las aplicaciones de la organización en busca de vulnerabilidades. Probar el software en su ambiente de ejecución para la identificación de vulnerabilidades.
  • 22. www.sgcampus.com.mx @sgcampus Practicas de seguridad IMPLEMENTACIÓN Fortalecimiento del ambiente Administración de las vulnerabilidades Habilitación operativa Implementar controles para el ambiente operativo que rodea al software para reforzar la postura de seguridad de la organización. Establecer procesos consistentes para administrar reportes (internos/externos) para limitar la exposición del software, recopilar información y de esa forma mejorar el modelo. Identificar y capturar información relevante a la seguridad del que necesita un operador para configurar, instalar y ejecutar el software.
  • 23. www.sgcampus.com.mx @sgcampus ¿Qué nivel de madurez tengo? Nivel 0 • Punto de inicio, las actividades mencionadas en la práctica de seguridad no se han realizado. Nivel 1 • Existe un entendimiento inicial y una provisión de tipo “ad hoc” de la práctica de seguridad. Nivel 2 • Incremento de la eficiencia y/o efectividad de la práctica de seguridad. Nivel 3 • Dominio amplio de la práctica de seguridad.
  • 24. www.sgcampus.com.mx @sgcampus ¿Cómo implemento un modelo de madurez de aseguramiento de software en mi organización?
  • 25. www.sgcampus.com.mx @sgcampus SAMM visto desde ciclo de desarrollo de software
  • 26. www.sgcampus.com.mx @sgcampus Evaluación inicial • OWASP Ciudad de México está liberando un documento para la evaluación inicial para la implementación de un modelo de madurez de aseguramiento del software (SAMM).
  • 27. www.sgcampus.com.mx @sgcampus Invitación y contacto • Capítulo Cd. de México https://www.owasp.org/index.php?title=Mexico_City • Lista de distribución https://lists.owasp.org/mailman/listinfo/owasp-mexicocity • Correo electrónico carlos.sagrero@owasp.org (Líder Capítulo Ciudad de México) jpcarsi@owasp.org • Maguey ATF http://sourceforge.net/projects/maguey/