Your SlideShare is downloading. ×
0
Grupo Open Source para la                                        Integración de Tecnología         IN2- Ingeniería de la I...
Objetivos      •   Reflexión sobre problema de la seguridad en las organizaciones y cómo se están           resolviendo.  ...
Situación actual ­ Análisis      •   Inseguridad      •   Seguridad reactiva            –    Antivirus            –    IDS...
Definimos la Problemática       •   El Sistema de Gestión de Seguridad            –    Personas            –    Software, ...
Replanteando el problema – Enfoque Sistémico      •   Busquemos el Origen del Problema de la Seguridad      •   Usar un nu...
Enfoque Sistémico al Problema de Seguridad ­       Conclusión      •   Sólo estamos tomando acciones preventivas sobre el ...
Campos de Acción de QA y Security                                                     Desarrollo de                       ...
Revisión del Ciclo de vida del Software          Análisis                             Diseño                        Constr...
Ciclo de vida de los IDS (es reactivo!)                                        Vulnerability                     Attack   ...
Evolución de la Gestión de la Calidad         Inspección        • Separación, después de la producción, de los productos  ...
Técnicas más usadas para explotar vulnerabilidades[11]   GOS4i + IN2- Ingeniería de la Información – 2005   Calidad y Segu...
Origen de las Vulnerabilidades por Aplicación[12]   GOS4i + IN2- Ingeniería de la Información – 2005   Calidad y Seguridad...
Predicciones en Software Security[13]   GOS4i + IN2- Ingeniería de la Información – 2005   Calidad y Seguridad en Procesos...
Origen de Defectos en SW – No es código!![14]   GOS4i + IN2- Ingeniería de la Información – 2005   Calidad y Seguridad en ...
ROI en Security Software[15]   GOS4i + IN2- Ingeniería de la Información – 2005   Calidad y Seguridad en Procesos de Desar...
Metodologías y Estándares       •   De Seguridad             – http://www.fistconference.org/data/presentaciones/estandare...
Conclusiones Finales       •   Enfoque Sistémico (Holísitico)       •   Aplicable a todo el proceso de desarrollo de SW,  ...
Referencias       Alan Cox on writ ing bett er sof t ware       By Basheera Khan - Thursday, 07 Oct ober 2004       ht t p...
Upcoming SlideShare
Loading in...5
×

Calidad y Seguridad en Procesos de Desarrollo de Software

1,794

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,794
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
49
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Calidad y Seguridad en Procesos de Desarrollo de Software"

  1. 1. Grupo Open Source para la  Integración de Tecnología IN2- Ingeniería de la Información www.IN2.es Calidad y Seguridad en Procesos de  Desarrollo de Software Roger Carhuatocto roger.carhuatocto [ AT ] in2.es V1.0 - 18.Marzo.2005GOS4i + IN2- Ingeniería de la Información – 2005
  2. 2. Objetivos • Reflexión sobre problema de la seguridad en las organizaciones y cómo se están  resolviendo.  • Énfasis en el Proceso de Desarrollo de Sofware (Preventivo) • Énfasis en las metodologías de aseguramiento de la calidad y seguridad en procesos  de desarrollo de software como actividad preventiva.[2] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  3. 3. Situación actual ­ Análisis • Inseguridad • Seguridad reactiva – Antivirus – IDS – Firewall – Honeypots, etc.. • El Testing de Seguridad es usado para identificar vulnerabilidades sobre Producto  Final. • Se soluciona los “bugs”, no el origen de ellos • ¿Dónde está el origen?[3] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  4. 4. Definimos la Problemática  • El Sistema de Gestión de Seguridad – Personas – Software, Hardware y otro tipo de infraestructura – Procesos de Negocio – Información • ¿Cuál es el elemento más débil? • ¿A dónde se enfocan las actuales soluciones? • Aplicar Paretto 80%­20%[4] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  5. 5. Replanteando el problema – Enfoque Sistémico • Busquemos el Origen del Problema de la Seguridad • Usar un nuevo enfoque. • Enfoque Sistémico del Problema de la Seguridad (Enfoque Holístico) – Considerar todos los elementos: Personas, SW, HW, Información, Red, etc. – Nos centramos en el elemento que nos interesa, el Software. Es el elemento más débil? – Análisis del Proceso de Desarrollo SW en lugar del Producto resultante – Definir acciones(seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW[5] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  6. 6. Enfoque Sistémico al Problema de Seguridad ­  Conclusión • Sólo estamos tomando acciones preventivas sobre el producto final (testing de  seguridad) • Estamos descuidando la seguridad en otras etapas del Desarrollo de SW • Existen elementos externos al proceso de Desarrollo de SW que se deben  considerar, ellos proporcionan ayuda en la prevención: – Sistemas de Gestión de la Calidad – Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente,  Facturación, Contabilidad, etc. – Recomendaciones y Metodologías – Herramientas y Técnicas • Bugtracking • CVS • Wiki • Nmap, Nessus, etc…. • Testing tools, etc…[6] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  7. 7. Campos de Acción de QA y Security Desarrollo de Software y Seguridad Aplicaciones Preventiva Sistem as de Gestión Seguridad Lógica Procesos Negocio Networking, Seguridad Sistem as e Infraestructura Reactiva[7] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  8. 8. Revisión del Ciclo de vida del Software Análisis Diseño Construcción Transición •Se define el “Cómo?” •Construcción, integración y testing •A producción •Se define el “Qué?” •Objetivos: •Interativo •La seguridad aparece •Qué aporta Seg. a Negocio? •Prototipeo •Plan Operativo •Diseño de Sistema •Monitorización •Herramientas:  •Diseño de Objetos •Respuesta a incidentes •Requerimientos •Analisis Func y No­Func. •Diseño de Componentes •Casos de Uso •Herramientas:  •CRC Cards:  •Class, Responsibility, Collaboration •Diagrama de Secuencias y Clases •Definición Servicios Comunes: •Logging, Security, Exception, Etc. •Modelamiento de Amenazas por Casos de Uso •Patrones de Diseño Funcional •Patrones de Diseño de Seguridad (por Amenazas) •Input Validator Pattern •Aspect Oriented Programming •Exception Manager Pattern •Secure Logger Pattern[8] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  9. 9. Ciclo de vida de los IDS (es reactivo!) Vulnerability Attack Integrate Pentest Exploit detection pattern in IDS The learning process = Four days (aprox.)[9] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  10. 10. Evolución de la Gestión de la Calidad  Inspección • Separación, después de la producción, de los productos  defectuosos de los no defectuosos. P • Buscar la ausencia de defectos. • Auditoria final, reuniones para solucionar defectos. Control de Proceso • Anticipación dentro de los procesos de desarrollo. P • No se espera al final de la cadena de producción. • Se introduce el concepto de proceso. Gestión Integral de la Calidad • la Calidad debe abarcar a todas las áreas de las empresa que  intervienen en la realización del producto. P Calidad Total • Forma de gestión de una organización centrada en la calidad  basada en la participación de todos sus miembros y que  apunta al éxito a largo plazo por medio de la satisfacción del  cliente y a proporcionar beneficios para todos los miembros de  P la organización y para la sociedad.[10] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  11. 11. Técnicas más usadas para explotar vulnerabilidades[11] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  12. 12. Origen de las Vulnerabilidades por Aplicación[12] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  13. 13. Predicciones en Software Security[13] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  14. 14. Origen de Defectos en SW – No es código!![14] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  15. 15. ROI en Security Software[15] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  16. 16. Metodologías y Estándares • De Seguridad – http://www.fistconference.org/data/presentaciones/estandaresymetodologiasdeseguridad.pdf  – Conferencias FIST, Nov. 2003 – Vicente Aceituno • Generales – Anexo­Estandares­QA­SEC_RCARHUATOCTO­v1.pdf[16] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  17. 17. Conclusiones Finales • Enfoque Sistémico (Holísitico) • Aplicable a todo el proceso de desarrollo de SW,  incluye a la etapa de toma de requerimientos • Usar Metodologías y Estándares de propósito  general y de seguridad[17] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  18. 18. Referencias Alan Cox on writ ing bett er sof t ware By Basheera Khan - Thursday, 07 Oct ober 2004 ht t p:/ / www.pingwales.co.uk/ sof t ware/ cox - on- bet t er- sof t ware.ht m l Dire St raits The evolution of sof t ware opens new vist as for business... and t he bad guys. April 2004, By GARY MCGRAW & GREG HOGLUND ht t p:/ / infosecurit ym ag.techt arget .com/ ss/ 0,295796,sid6_iss366_art 684,00.htm l Int roduct ion t o Sof t ware Securit y Dat e: Nov 2, 2001 By Gary McGraw, John Viega. ht t p:/ / www.awprof essional.com / articles/ print erf riendly.asp?p= 23950 Cent ro de Desarrollo Microsof t Seguridad ht t p:/ / www.m icrosoft .com / spanish/ m sdn/ centro_recursos/ securit y/ def ault .asp[18] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×