Calidad y Seguridad en Procesos de Desarrollo de Software

2,684 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,684
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
55
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Calidad y Seguridad en Procesos de Desarrollo de Software

  1. 1. Grupo Open Source para la  Integración de Tecnología IN2- Ingeniería de la Información www.IN2.es Calidad y Seguridad en Procesos de  Desarrollo de Software Roger Carhuatocto roger.carhuatocto [ AT ] in2.es V1.0 - 18.Marzo.2005GOS4i + IN2- Ingeniería de la Información – 2005
  2. 2. Objetivos • Reflexión sobre problema de la seguridad en las organizaciones y cómo se están  resolviendo.  • Énfasis en el Proceso de Desarrollo de Sofware (Preventivo) • Énfasis en las metodologías de aseguramiento de la calidad y seguridad en procesos  de desarrollo de software como actividad preventiva.[2] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  3. 3. Situación actual ­ Análisis • Inseguridad • Seguridad reactiva – Antivirus – IDS – Firewall – Honeypots, etc.. • El Testing de Seguridad es usado para identificar vulnerabilidades sobre Producto  Final. • Se soluciona los “bugs”, no el origen de ellos • ¿Dónde está el origen?[3] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  4. 4. Definimos la Problemática  • El Sistema de Gestión de Seguridad – Personas – Software, Hardware y otro tipo de infraestructura – Procesos de Negocio – Información • ¿Cuál es el elemento más débil? • ¿A dónde se enfocan las actuales soluciones? • Aplicar Paretto 80%­20%[4] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  5. 5. Replanteando el problema – Enfoque Sistémico • Busquemos el Origen del Problema de la Seguridad • Usar un nuevo enfoque. • Enfoque Sistémico del Problema de la Seguridad (Enfoque Holístico) – Considerar todos los elementos: Personas, SW, HW, Información, Red, etc. – Nos centramos en el elemento que nos interesa, el Software. Es el elemento más débil? – Análisis del Proceso de Desarrollo SW en lugar del Producto resultante – Definir acciones(seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW[5] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  6. 6. Enfoque Sistémico al Problema de Seguridad ­  Conclusión • Sólo estamos tomando acciones preventivas sobre el producto final (testing de  seguridad) • Estamos descuidando la seguridad en otras etapas del Desarrollo de SW • Existen elementos externos al proceso de Desarrollo de SW que se deben  considerar, ellos proporcionan ayuda en la prevención: – Sistemas de Gestión de la Calidad – Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente,  Facturación, Contabilidad, etc. – Recomendaciones y Metodologías – Herramientas y Técnicas • Bugtracking • CVS • Wiki • Nmap, Nessus, etc…. • Testing tools, etc…[6] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  7. 7. Campos de Acción de QA y Security Desarrollo de Software y Seguridad Aplicaciones Preventiva Sistem as de Gestión Seguridad Lógica Procesos Negocio Networking, Seguridad Sistem as e Infraestructura Reactiva[7] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  8. 8. Revisión del Ciclo de vida del Software Análisis Diseño Construcción Transición •Se define el “Cómo?” •Construcción, integración y testing •A producción •Se define el “Qué?” •Objetivos: •Interativo •La seguridad aparece •Qué aporta Seg. a Negocio? •Prototipeo •Plan Operativo •Diseño de Sistema •Monitorización •Herramientas:  •Diseño de Objetos •Respuesta a incidentes •Requerimientos •Analisis Func y No­Func. •Diseño de Componentes •Casos de Uso •Herramientas:  •CRC Cards:  •Class, Responsibility, Collaboration •Diagrama de Secuencias y Clases •Definición Servicios Comunes: •Logging, Security, Exception, Etc. •Modelamiento de Amenazas por Casos de Uso •Patrones de Diseño Funcional •Patrones de Diseño de Seguridad (por Amenazas) •Input Validator Pattern •Aspect Oriented Programming •Exception Manager Pattern •Secure Logger Pattern[8] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  9. 9. Ciclo de vida de los IDS (es reactivo!) Vulnerability Attack Integrate Pentest Exploit detection pattern in IDS The learning process = Four days (aprox.)[9] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  10. 10. Evolución de la Gestión de la Calidad  Inspección • Separación, después de la producción, de los productos  defectuosos de los no defectuosos. P • Buscar la ausencia de defectos. • Auditoria final, reuniones para solucionar defectos. Control de Proceso • Anticipación dentro de los procesos de desarrollo. P • No se espera al final de la cadena de producción. • Se introduce el concepto de proceso. Gestión Integral de la Calidad • la Calidad debe abarcar a todas las áreas de las empresa que  intervienen en la realización del producto. P Calidad Total • Forma de gestión de una organización centrada en la calidad  basada en la participación de todos sus miembros y que  apunta al éxito a largo plazo por medio de la satisfacción del  cliente y a proporcionar beneficios para todos los miembros de  P la organización y para la sociedad.[10] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  11. 11. Técnicas más usadas para explotar vulnerabilidades[11] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  12. 12. Origen de las Vulnerabilidades por Aplicación[12] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  13. 13. Predicciones en Software Security[13] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  14. 14. Origen de Defectos en SW – No es código!![14] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  15. 15. ROI en Security Software[15] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  16. 16. Metodologías y Estándares • De Seguridad – http://www.fistconference.org/data/presentaciones/estandaresymetodologiasdeseguridad.pdf  – Conferencias FIST, Nov. 2003 – Vicente Aceituno • Generales – Anexo­Estandares­QA­SEC_RCARHUATOCTO­v1.pdf[16] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  17. 17. Conclusiones Finales • Enfoque Sistémico (Holísitico) • Aplicable a todo el proceso de desarrollo de SW,  incluye a la etapa de toma de requerimientos • Usar Metodologías y Estándares de propósito  general y de seguridad[17] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  18. 18. Referencias Alan Cox on writ ing bett er sof t ware By Basheera Khan - Thursday, 07 Oct ober 2004 ht t p:/ / www.pingwales.co.uk/ sof t ware/ cox - on- bet t er- sof t ware.ht m l Dire St raits The evolution of sof t ware opens new vist as for business... and t he bad guys. April 2004, By GARY MCGRAW & GREG HOGLUND ht t p:/ / infosecurit ym ag.techt arget .com/ ss/ 0,295796,sid6_iss366_art 684,00.htm l Int roduct ion t o Sof t ware Securit y Dat e: Nov 2, 2001 By Gary McGraw, John Viega. ht t p:/ / www.awprof essional.com / articles/ print erf riendly.asp?p= 23950 Cent ro de Desarrollo Microsof t Seguridad ht t p:/ / www.m icrosoft .com / spanish/ m sdn/ centro_recursos/ securit y/ def ault .asp[18] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

×