SlideShare a Scribd company logo

Desarrollo de software seguro: una visión con OpenSAMM

Internet Security Auditors
Internet Security Auditors

Se presenta OpenSAMM como iniciativa para ayudar a las organizaciones a diseñar e implementar una estrategia para la creación de software seguro. Los recursos facilitatos por OpenSAMM ayudan a evaluar las prácticas de seguridad existentes, demostrar mejoras concretas, definir y medir actividades relacionadas con la seguridad, así como construir un programa que garantice la seguridad en el desarrollo de software.

1 of 44
Download to read offline
C. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 C. Arequipa, 1 I E-28043 Madrid (Spain) I Tel: +34 91 763 40 47 I Fax: +34 91 382 03 96 info@isecauditors.com I www.isecauditors.com Desarrollo de software seguro: una visión con OpenSAMM Vicente Aguilera Díaz Internet Security Auditors 09/05/2012 – Zaragoza
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 2 Desarrollo de software seguro: una visión con OpenSAMM ¿Quién soy? • CISA, CISSP, CSSLP, ITIL, CEH|I, ECSP|I, PCI ASV, OPSA,OPST • Socio y Director del Dpto. de Auditoría en Internet Security Auditors • OWASP Spain Chapter Leader • Miembro del Consejo Técnico Asesor de la revista RedSeguridad • Miembro del Jurado de los Trofeos de la Seguridad TIC • Colaborador en distintos proyectos (OWASP Testing Guide, WASC Threat Classification, OISSG ISSAF, WASC Articles, etc.) • Ponente en congresos del sector (ExpoQA, IGC, RedIRIS, OWASP, FIST, HackMeeting, ISACA, Respuestas SIC, AdwysCon, Infosecura, etc.) • Publicación de vulnerabilidades (Oracle, Facebook, Gmail, etc.) y artículos en medios especializados (SIC, RedSeguridad, WASC, etc.)
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 3 Desarrollo de software seguro: una visión con OpenSAMM Agenda 1. Necesitamos construir software seguro 2. El SDLC seguro es la clave 3. OpenSAMM como estrategia de seguridad 4. Aplicando el modelo OpenSAMM 5. Conclusiones
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 4 Desarrollo de software seguro: una visión con OpenSAMM 1│Necesitamos construir software seguro
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 5 Desarrollo de software seguro: una visión con OpenSAMM “In the 80’s we wired the world with cables and in the 90’s we wired the world with computer networks. Today we are wiring the world with applications (software). Having a skilled professional capable of designing, developing and deploying secure software is now critical to this evolving world.” Mark Curphey Director & Product Unit Manager, Microsoft Corporation Founder of Open Web Application Security Project (OWASP)
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 6 Desarrollo de software seguro: una visión con OpenSAMM ¿Porqué resulta ahora crítico? • Las aplicaciones web resultan muy atractivas • La trinidad de los problemas: • Conectividad • Complejidad • Extensibilidad … y existen estándares de obligado cumplimiento! (PCI DSS, SOX, GLB Act, HIPAA, FISMA, …) Nuestra vida cotidiana depende del software
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 7 Desarrollo de software seguro: una visión con OpenSAMM Todo es posible en la web…
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 8 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 9 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 10 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 11 Desarrollo de software seguro: una visión con OpenSAMM ¿Qué es software seguro? • Diseñado, construido y probado para ser seguro • Continúa ejecutándose correctamente bajo un ataque • Diseñado con el fallo en mente Romper algo es más fácil que diseñar algo para que no pueda ser roto
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 12 Desarrollo de software seguro: una visión con OpenSAMM ¿Qué es software seguro? Improving Web Application Security: Threats and countermeasures
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 13 Desarrollo de software seguro: una visión con OpenSAMM 2│El SDLC seguro es la clave
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 14 Desarrollo de software seguro: una visión con OpenSAMM El SDLC seguro es la clave • SDLC basado en principios de seguridad • No existe una fórmula única para todas las organizaciones • Requiere involucrar los siguientes factores: • Personas • Procesos • Tecnología SDLC genérico
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 15 Desarrollo de software seguro: una visión con OpenSAMM Buenas prácticas • Microsoft SDL (Secure Development Lifecycle) • OWASP CLASP (Comprehensive, Lightweight Application Security Process) • Cigital Software Security Touchpoints • OWASP OpenSAMM (Software Assurance Maturity Model) • BSIMM (Building Security In Maturity Model) • SSE CMM (Secure Software Engineering Capability Maturity Model)
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 16 Desarrollo de software seguro: una visión con OpenSAMM 3│OpenSAMM como estrategia de seguridad
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 17 Desarrollo de software seguro: una visión con OpenSAMM OWASP OpenSAMM • Marco abierto para ayudar a las organizaciones a diseñar e implementar una estrategia para la creación de software seguro • Los recursos facilitados por OpenSAMM ayudan a: • Evaluar las prácticas de seguridad existentes • Demostrar mejoras concretas • Definir y medir actividades relacionadas con la seguridad • Construir un programa de aseguramiento de la seguridad en software
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 18 Desarrollo de software seguro: una visión con OpenSAMM OWASP OpenSAMM
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 19 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Estrategia y métricas
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 20 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Política y cumplimiento
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 21 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Educación y orientación
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 22 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Evaluación de amenazas
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 23 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Requisitos de seguridad
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 24 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Arquitectura de seguridad
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 25 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Revisión de diseño
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 26 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Revisión de código
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 27 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Pruebas de seguridad
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 28 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Gestión de vuln.
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 29 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Securización del entorno
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 30 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Habilitación operativa
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 31 Desarrollo de software seguro: una visión con OpenSAMM 4│Aplicando el modelo OpenSAMM
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 32 Desarrollo de software seguro: una visión con OpenSAMM Aplicando OpenSAMM • Realizar una revisión inicial • Medir las prácticas de la organización frente las prácticas de seguridad definidas por el modelo • Definir el nivel de madurez actual • Dos estilos de revisiones • Ligero • Detallado
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 33 Desarrollo de software seguro: una visión con OpenSAMM Aplicando OpenSAMM • Construir programas de aseguramiento de la seguridad • Crear una hoja de ruta o usar una plantilla • Realizar las actividades prescritas para alcanzar el nivel de madurez esperado
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 34 Desarrollo de software seguro: una visión con OpenSAMM Hojas de trabajo para las revisiones
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 35 Desarrollo de software seguro: una visión con OpenSAMM Creando tarjetas de calificaciones • Permite demostrar la evolución • Basado en las puntuaciones asignadas a cada práctica de seguridad • Puede resultar tan simple como un conjunto de 12 puntuaciones para un momento concreto
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 36 Desarrollo de software seguro: una visión con OpenSAMM Hoja de ruta • Define la estrategia de implementación • Es una estrategia a largo plazo • Depende de las prioridades de cada organización
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 37 Desarrollo de software seguro: una visión con OpenSAMM ¿Cuáles son los beneficios? • Permite implementar las mejores prácticas utilizadas hoy y aprovechar la experiencia en su implementación • Proporciona una manera de revisar el estado de una organización y priorizar los cambios • Proporciona una manera de construir un programa de seguridad en el desarrollo mediante iteraciones claramente definidas • Permite definir y medir actividades relacionadas con la seguridad • Permite demostrar mejoras concretas en la seguridad
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 38 Desarrollo de software seguro: una visión con OpenSAMM 5│Conclusiones
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 39 Desarrollo de software seguro: una visión con OpenSAMM Conclusiones • La mayoría de los ataques se producen en la capa de aplicación • Necesitamos invertir más en la protección de nuestras aplicaciones • Necesitamos crear software seguro • Necesitamos adoptar una estrategia de seguridad para la creación de software • El software seguro es el resultado de múltiples actividades • Requiere involucrar personas, procesos y tecnología
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 40 Desarrollo de software seguro: una visión con OpenSAMM Conclusiones • Mejorar la seguridad del software implica un cambio cultural en la organización • Debemos cambiar la forma en la que trabaja nuestra organización
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 41 Desarrollo de software seguro: una visión con OpenSAMM 6│Referencias
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 42 Desarrollo de software seguro: una visión con OpenSAMM Referencias • Improving Web Application Security: • OWASP OpenSAMM: • The Ten Best Practices for Secure Software Development: http://www.isc2.org/uploadedFiles/(ISC)2_Public_Content/Certificat ion_Programs/CSSLP/ISC2_WPIV.pdf http://msdn.microsoft.com/en-us/library/ff649874.aspx http://www.opensamm.org • PCI Data Security Standard https://www.pcisecuritystandards.org
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 43 Desarrollo de software seguro: una visión con OpenSAMM ? preguntas / comentarios / sugerencias Muchas gracias por su atención!
© I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 44 Desarrollo de software seguro: una visión con OpenSAMM Su Seguridad es Nuestro Éxito Vicente Aguilera Díaz Director Departamento Auditoría Internet Security Auditors vaguilera@isecauditors.com C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 www.isecauditors.com

Recommended

Métricas del proceso y proyecto - Procesos de Ingeniería de software
Métricas del proceso y proyecto - Procesos de Ingeniería de softwareMétricas del proceso y proyecto - Procesos de Ingeniería de software
Métricas del proceso y proyecto - Procesos de Ingeniería de softwareGalo Lalangui
 
Software De Gestion
Software De GestionSoftware De Gestion
Software De GestionPabloraton
 
Gestión de riesgos de software
Gestión de riesgos de softwareGestión de riesgos de software
Gestión de riesgos de softwareOmar S. Gomez
 
Msf
MsfMsf
MsfJuan Carlos Olivares Rojas
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 
5. Métodos de Prueba de Software
5. Métodos de Prueba de Software5. Métodos de Prueba de Software
5. Métodos de Prueba de SoftwareMario A Moreno Rocha
 
IEEE 730 1989: Plan de aseguramiento de la calidad del software
IEEE 730 1989: Plan de aseguramiento de la calidad del softwareIEEE 730 1989: Plan de aseguramiento de la calidad del software
IEEE 730 1989: Plan de aseguramiento de la calidad del softwareJesús Navarro
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de softwareMiluska Azabache Gonzales
 

Recommended

Métricas del proceso y proyecto - Procesos de Ingeniería de software
Métricas del proceso y proyecto - Procesos de Ingeniería de softwareMétricas del proceso y proyecto - Procesos de Ingeniería de software
Métricas del proceso y proyecto - Procesos de Ingeniería de softwareGalo Lalangui
 
Software De Gestion
Software De GestionSoftware De Gestion
Software De GestionPabloraton
 
Gestión de riesgos de software
Gestión de riesgos de softwareGestión de riesgos de software
Gestión de riesgos de softwareOmar S. Gomez
 
Msf
MsfMsf
MsfJuan Carlos Olivares Rojas
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 
5. Métodos de Prueba de Software
5. Métodos de Prueba de Software5. Métodos de Prueba de Software
5. Métodos de Prueba de SoftwareMario A Moreno Rocha
 
IEEE 730 1989: Plan de aseguramiento de la calidad del software
IEEE 730 1989: Plan de aseguramiento de la calidad del softwareIEEE 730 1989: Plan de aseguramiento de la calidad del software
IEEE 730 1989: Plan de aseguramiento de la calidad del softwareJesús Navarro
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de softwareMiluska Azabache Gonzales
 
Implementing DevSecOps
Implementing DevSecOpsImplementing DevSecOps
Implementing DevSecOpsAmazon Web Services
 
Teste de Software
Teste de SoftwareTeste de Software
Teste de SoftwareSérgio Souza Costa
 
Métricas del Software
Métricas del SoftwareMétricas del Software
Métricas del SoftwareArabel Aguilar
 
Reingenieria inversa
Reingenieria inversaReingenieria inversa
Reingenieria inversaJose Fernandez
 
Managing Infrastructure as a Product - Introduction to Platform Engineering
Managing Infrastructure as a Product - Introduction to Platform EngineeringManaging Infrastructure as a Product - Introduction to Platform Engineering
Managing Infrastructure as a Product - Introduction to Platform EngineeringAdityo Pratomo
 
Devops Strategy Roadmap Lifecycle Ppt Powerpoint Presentation Slides Complete...
Devops Strategy Roadmap Lifecycle Ppt Powerpoint Presentation Slides Complete...Devops Strategy Roadmap Lifecycle Ppt Powerpoint Presentation Slides Complete...
Devops Strategy Roadmap Lifecycle Ppt Powerpoint Presentation Slides Complete...SlideTeam
 
La transformacion DevOps
La transformacion DevOpsLa transformacion DevOps
La transformacion DevOpsAlex Canizales Castro
 
Software quality assurance (sqa) parte iii-plan de calidad y prueba v3.0
Software quality assurance (sqa) parte iii-plan de calidad y prueba v3.0Software quality assurance (sqa) parte iii-plan de calidad y prueba v3.0
Software quality assurance (sqa) parte iii-plan de calidad y prueba v3.0Renato Gonzalez
 
Platform engineering
Platform engineeringPlatform engineering
Platform engineeringPrasanna Venkatesan
 
Implantação de um Processo de Teste de Software - Randerson Melville
Implantação de um Processo de Teste de Software - Randerson Melville Implantação de um Processo de Teste de Software - Randerson Melville
Implantação de um Processo de Teste de Software - Randerson Melville minastestingconference
 
Qualidade de software e sua influência no sucesso do projeto
Qualidade de software e sua influência no sucesso do projetoQualidade de software e sua influência no sucesso do projeto
Qualidade de software e sua influência no sucesso do projetoValquíria Duarte D'Amato
 
IIS Unidad 2 Modelos de proceso del software
IIS Unidad 2 Modelos de proceso del softwareIIS Unidad 2 Modelos de proceso del software
IIS Unidad 2 Modelos de proceso del softwareFranklin Parrales Bravo
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareLorena Quiñónez
 
Gestion de riesgo software
Gestion de riesgo softwareGestion de riesgo software
Gestion de riesgo softwareHector L
 
Controles a proyectos de desarrollo de Software
Controles a proyectos de desarrollo de SoftwareControles a proyectos de desarrollo de Software
Controles a proyectos de desarrollo de SoftwareSantander David Navarro
 
API Economy 시대가 온다 - 강지나 클라우드 솔루션 아키텍트
API Economy 시대가 온다 - 강지나 클라우드 솔루션 아키텍트API Economy 시대가 온다 - 강지나 클라우드 솔루션 아키텍트
API Economy 시대가 온다 - 강지나 클라우드 솔루션 아키텍트NAVER CLOUD PLATFORMㅣ네이버 클라우드 플랫폼
 
Effective Test Automation in DevOps
Effective Test Automation in DevOpsEffective Test Automation in DevOps
Effective Test Automation in DevOpsLee Barnes
 
Fabricas de software
Fabricas de softwareFabricas de software
Fabricas de softwareGiovanny Guillen
 
Qualidade de Software
Qualidade de SoftwareQualidade de Software
Qualidade de SoftwareTiago Antônio da Silva
 
3. STAY IN Newsletter
3. STAY IN Newsletter3. STAY IN Newsletter
3. STAY IN NewsletterMichaela Meier
 
Global Hotel Alliance: Campaign Automation on a Global Scale
Global Hotel Alliance: Campaign Automation on a Global ScaleGlobal Hotel Alliance: Campaign Automation on a Global Scale
Global Hotel Alliance: Campaign Automation on a Global ScaleBlueHornet
 

More Related Content

What's hot

Métricas del Software
Métricas del SoftwareMétricas del Software
Métricas del SoftwareArabel Aguilar
 
Managing Infrastructure as a Product - Introduction to Platform Engineering
Managing Infrastructure as a Product - Introduction to Platform EngineeringManaging Infrastructure as a Product - Introduction to Platform Engineering
Managing Infrastructure as a Product - Introduction to Platform EngineeringAdityo Pratomo
 
Devops Strategy Roadmap Lifecycle Ppt Powerpoint Presentation Slides Complete...
Devops Strategy Roadmap Lifecycle Ppt Powerpoint Presentation Slides Complete...Devops Strategy Roadmap Lifecycle Ppt Powerpoint Presentation Slides Complete...
Devops Strategy Roadmap Lifecycle Ppt Powerpoint Presentation Slides Complete...SlideTeam
 
Software quality assurance (sqa) parte iii-plan de calidad y prueba v3.0
Software quality assurance (sqa) parte iii-plan de calidad y prueba v3.0Software quality assurance (sqa) parte iii-plan de calidad y prueba v3.0
Software quality assurance (sqa) parte iii-plan de calidad y prueba v3.0Renato Gonzalez
 
Implantação de um Processo de Teste de Software - Randerson Melville
Implantação de um Processo de Teste de Software - Randerson Melville Implantação de um Processo de Teste de Software - Randerson Melville
Implantação de um Processo de Teste de Software - Randerson Melville minastestingconference
 
Qualidade de software e sua influência no sucesso do projeto
Qualidade de software e sua influência no sucesso do projetoQualidade de software e sua influência no sucesso do projeto
Qualidade de software e sua influência no sucesso do projetoValquíria Duarte D'Amato
 
IIS Unidad 2 Modelos de proceso del software
IIS Unidad 2 Modelos de proceso del softwareIIS Unidad 2 Modelos de proceso del software
IIS Unidad 2 Modelos de proceso del softwareFranklin Parrales Bravo
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareLorena Quiñónez
 
Gestion de riesgo software
Gestion de riesgo softwareGestion de riesgo software
Gestion de riesgo softwareHector L
 
Controles a proyectos de desarrollo de Software
Controles a proyectos de desarrollo de SoftwareControles a proyectos de desarrollo de Software
Controles a proyectos de desarrollo de SoftwareSantander David Navarro
 
Effective Test Automation in DevOps
Effective Test Automation in DevOpsEffective Test Automation in DevOps
Effective Test Automation in DevOpsLee Barnes
 

What's hot (20)

Implementing DevSecOps
Implementing DevSecOpsImplementing DevSecOps
Implementing DevSecOps
 
Teste de Software
Teste de SoftwareTeste de Software
Teste de Software
 
Métricas del Software
Métricas del SoftwareMétricas del Software
Métricas del Software
 
Reingenieria inversa
Reingenieria inversaReingenieria inversa
Reingenieria inversa
 
Managing Infrastructure as a Product - Introduction to Platform Engineering
Managing Infrastructure as a Product - Introduction to Platform EngineeringManaging Infrastructure as a Product - Introduction to Platform Engineering
Managing Infrastructure as a Product - Introduction to Platform Engineering
 
Devops Strategy Roadmap Lifecycle Ppt Powerpoint Presentation Slides Complete...
Devops Strategy Roadmap Lifecycle Ppt Powerpoint Presentation Slides Complete...Devops Strategy Roadmap Lifecycle Ppt Powerpoint Presentation Slides Complete...
Devops Strategy Roadmap Lifecycle Ppt Powerpoint Presentation Slides Complete...
 
La transformacion DevOps
La transformacion DevOpsLa transformacion DevOps
La transformacion DevOps
 
Software quality assurance (sqa) parte iii-plan de calidad y prueba v3.0
Software quality assurance (sqa) parte iii-plan de calidad y prueba v3.0Software quality assurance (sqa) parte iii-plan de calidad y prueba v3.0
Software quality assurance (sqa) parte iii-plan de calidad y prueba v3.0
 
Platform engineering
Platform engineeringPlatform engineering
Platform engineering
 
Implantação de um Processo de Teste de Software - Randerson Melville
Implantação de um Processo de Teste de Software - Randerson Melville Implantação de um Processo de Teste de Software - Randerson Melville
Implantação de um Processo de Teste de Software - Randerson Melville
 
Qualidade de software e sua influência no sucesso do projeto
Qualidade de software e sua influência no sucesso do projetoQualidade de software e sua influência no sucesso do projeto
Qualidade de software e sua influência no sucesso do projeto
 
IIS Unidad 2 Modelos de proceso del software
IIS Unidad 2 Modelos de proceso del softwareIIS Unidad 2 Modelos de proceso del software
IIS Unidad 2 Modelos de proceso del software
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgos
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de software
 
Gestion de riesgo software
Gestion de riesgo softwareGestion de riesgo software
Gestion de riesgo software
 
Controles a proyectos de desarrollo de Software
Controles a proyectos de desarrollo de SoftwareControles a proyectos de desarrollo de Software
Controles a proyectos de desarrollo de Software
 
API Economy 시대가 온다 - 강지나 클라우드 솔루션 아키텍트
API Economy 시대가 온다 - 강지나 클라우드 솔루션 아키텍트API Economy 시대가 온다 - 강지나 클라우드 솔루션 아키텍트
API Economy 시대가 온다 - 강지나 클라우드 솔루션 아키텍트
 
Effective Test Automation in DevOps
Effective Test Automation in DevOpsEffective Test Automation in DevOps
Effective Test Automation in DevOps
 
Fabricas de software
Fabricas de softwareFabricas de software
Fabricas de software
 
Qualidade de Software
Qualidade de SoftwareQualidade de Software
Qualidade de Software
 

Viewers also liked

Global Hotel Alliance: Campaign Automation on a Global Scale
Global Hotel Alliance: Campaign Automation on a Global ScaleGlobal Hotel Alliance: Campaign Automation on a Global Scale
Global Hotel Alliance: Campaign Automation on a Global ScaleBlueHornet
 
Introduction to Elasticsearch
Introduction to ElasticsearchIntroduction to Elasticsearch
Introduction to ElasticsearchLuiz Messias
 
El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.
El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.
El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.FoxFibre Colorganic
 
Newsletter N°14 Mes de Junio
Newsletter N°14 Mes de JunioNewsletter N°14 Mes de Junio
Newsletter N°14 Mes de JunioWest Lubricantes
 
LatinMarket
LatinMarketLatinMarket
LatinMarketLuis Cam
 
Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...
Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...
Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...Alberto López Martín
 
Alfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and Orbeon
Alfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and OrbeonAlfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and Orbeon
Alfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and OrbeonOksana Kurysheva
 
Company profile twa
Company profile twaCompany profile twa
Company profile twaRatman Bejo
 
01 orthokeratology children chan
01 orthokeratology children chan01 orthokeratology children chan
01 orthokeratology children chanortokextremadura
 
Cyber Security, Why It's important To You
Cyber Security, Why It's important To YouCyber Security, Why It's important To You
Cyber Security, Why It's important To YouRonald E. Laub Jr
 
HoneySpider Network: a Java based system to hunt down malicious websites
HoneySpider Network: a Java based system to hunt down malicious websitesHoneySpider Network: a Java based system to hunt down malicious websites
HoneySpider Network: a Java based system to hunt down malicious websitesNLJUG
 
Contrato de arrendamiento
Contrato de arrendamientoContrato de arrendamiento
Contrato de arrendamientoRosmeri Romero
 
Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...
Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...
Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...Turismo de Ávila
 

Viewers also liked (20)

3. STAY IN Newsletter
3. STAY IN Newsletter3. STAY IN Newsletter
3. STAY IN Newsletter
 
Global Hotel Alliance: Campaign Automation on a Global Scale
Global Hotel Alliance: Campaign Automation on a Global ScaleGlobal Hotel Alliance: Campaign Automation on a Global Scale
Global Hotel Alliance: Campaign Automation on a Global Scale
 
M3 Sistema de rastreo vehicular
M3 Sistema de rastreo vehicularM3 Sistema de rastreo vehicular
M3 Sistema de rastreo vehicular
 
Introduction to Elasticsearch
Introduction to ElasticsearchIntroduction to Elasticsearch
Introduction to Elasticsearch
 
El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.
El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.
El algodón engaña. Nuestro algodón Fox Fibre Cologranic, no.
 
Revista educaccion
Revista educaccionRevista educaccion
Revista educaccion
 
Newsletter N°14 Mes de Junio
Newsletter N°14 Mes de JunioNewsletter N°14 Mes de Junio
Newsletter N°14 Mes de Junio
 
LatinMarket
LatinMarketLatinMarket
LatinMarket
 
Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...
Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...
Codemotion Mad 2014 - Things I love seeing when I buy something online - Brai...
 
Group office
Group officeGroup office
Group office
 
Alfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and Orbeon
Alfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and OrbeonAlfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and Orbeon
Alfresco DevCon 2011. Implementing eGov Portal. Powered by Alfresco and Orbeon
 
Version cd web definitiva
Version cd web definitivaVersion cd web definitiva
Version cd web definitiva
 
Company profile twa
Company profile twaCompany profile twa
Company profile twa
 
01 orthokeratology children chan
01 orthokeratology children chan01 orthokeratology children chan
01 orthokeratology children chan
 
Luxury surface
Luxury surfaceLuxury surface
Luxury surface
 
Cyber Security, Why It's important To You
Cyber Security, Why It's important To YouCyber Security, Why It's important To You
Cyber Security, Why It's important To You
 
HoneySpider Network: a Java based system to hunt down malicious websites
HoneySpider Network: a Java based system to hunt down malicious websitesHoneySpider Network: a Java based system to hunt down malicious websites
HoneySpider Network: a Java based system to hunt down malicious websites
 
Fac pubmed
Fac pubmedFac pubmed
Fac pubmed
 
Contrato de arrendamiento
Contrato de arrendamientoContrato de arrendamiento
Contrato de arrendamiento
 
Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...
Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...
Plan de Competitividad de Turismo Activo. Sierra de Gredos y Valle de Iruelas...
 

Similar to Desarrollo de software seguro: una visión con OpenSAMM

Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCInternet Security Auditors
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling ToolPeter Concha
 
Modelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareModelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareSoftware Guru
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
Seguridad vs Desarrolladores
Seguridad vs DesarrolladoresSeguridad vs Desarrolladores
Seguridad vs DesarrolladoresJaime Restrepo
 
SeguridadAuditoria.pptx
SeguridadAuditoria.pptxSeguridadAuditoria.pptx
SeguridadAuditoria.pptxssuser3937f41
 
Fundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptxFundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptxmateoaramedi
 
GESTION DE PROYECTOS INFORMATICOS
GESTION DE PROYECTOS INFORMATICOSGESTION DE PROYECTOS INFORMATICOS
GESTION DE PROYECTOS INFORMATICOSYASMIN RUIZ
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Internet Security Auditors
 
Introducción al Desarrollo de Software
Introducción al Desarrollo de SoftwareIntroducción al Desarrollo de Software
Introducción al Desarrollo de SoftwareBarbara brice?
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITViewnext
 
Proceso de dasarrollo de software
Proceso de dasarrollo de softwareProceso de dasarrollo de software
Proceso de dasarrollo de softwarerodrigolapaca94
 
02 desarrollodesoftwarecomoingenieria isi
02 desarrollodesoftwarecomoingenieria isi02 desarrollodesoftwarecomoingenieria isi
02 desarrollodesoftwarecomoingenieria isiChristian Bueno
 

Similar to Desarrollo de software seguro: una visión con OpenSAMM (20)

Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling Tool
 
Modelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de softwareModelo de madurez de aseguramiento de software
Modelo de madurez de aseguramiento de software
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de software
 
Anteproyecto Liliana cujar
Anteproyecto Liliana cujarAnteproyecto Liliana cujar
Anteproyecto Liliana cujar
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
Soc en el mundo
Soc en el mundoSoc en el mundo
Soc en el mundo
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013
 
Seguridad vs Desarrolladores
Seguridad vs DesarrolladoresSeguridad vs Desarrolladores
Seguridad vs Desarrolladores
 
SeguridadAuditoria.pptx
SeguridadAuditoria.pptxSeguridadAuditoria.pptx
SeguridadAuditoria.pptx
 
Fundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptxFundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptx
 
GESTION DE PROYECTOS INFORMATICOS
GESTION DE PROYECTOS INFORMATICOSGESTION DE PROYECTOS INFORMATICOS
GESTION DE PROYECTOS INFORMATICOS
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.
 
Introducción al Desarrollo de Software
Introducción al Desarrollo de SoftwareIntroducción al Desarrollo de Software
Introducción al Desarrollo de Software
 
Software de Seguridad
Software de SeguridadSoftware de Seguridad
Software de Seguridad
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad IT
 
Gestión de proyecto de software
Gestión de proyecto de softwareGestión de proyecto de software
Gestión de proyecto de software
 
Proceso de dasarrollo de software
Proceso de dasarrollo de softwareProceso de dasarrollo de software
Proceso de dasarrollo de software
 
02 desarrollodesoftwarecomoingenieria isi
02 desarrollodesoftwarecomoingenieria isi02 desarrollodesoftwarecomoingenieria isi
02 desarrollodesoftwarecomoingenieria isi
 

More from Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 

More from Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 

Desarrollo de software seguro: una visión con OpenSAMM

  • 1. C. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 C. Arequipa, 1 I E-28043 Madrid (Spain) I Tel: +34 91 763 40 47 I Fax: +34 91 382 03 96 info@isecauditors.com I www.isecauditors.com Desarrollo de software seguro: una visión con OpenSAMM Vicente Aguilera Díaz Internet Security Auditors 09/05/2012 – Zaragoza
  • 2. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 2 Desarrollo de software seguro: una visión con OpenSAMM ¿Quién soy? • CISA, CISSP, CSSLP, ITIL, CEH|I, ECSP|I, PCI ASV, OPSA,OPST • Socio y Director del Dpto. de Auditoría en Internet Security Auditors • OWASP Spain Chapter Leader • Miembro del Consejo Técnico Asesor de la revista RedSeguridad • Miembro del Jurado de los Trofeos de la Seguridad TIC • Colaborador en distintos proyectos (OWASP Testing Guide, WASC Threat Classification, OISSG ISSAF, WASC Articles, etc.) • Ponente en congresos del sector (ExpoQA, IGC, RedIRIS, OWASP, FIST, HackMeeting, ISACA, Respuestas SIC, AdwysCon, Infosecura, etc.) • Publicación de vulnerabilidades (Oracle, Facebook, Gmail, etc.) y artículos en medios especializados (SIC, RedSeguridad, WASC, etc.)
  • 3. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 3 Desarrollo de software seguro: una visión con OpenSAMM Agenda 1. Necesitamos construir software seguro 2. El SDLC seguro es la clave 3. OpenSAMM como estrategia de seguridad 4. Aplicando el modelo OpenSAMM 5. Conclusiones
  • 4. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 4 Desarrollo de software seguro: una visión con OpenSAMM 1│Necesitamos construir software seguro
  • 5. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 5 Desarrollo de software seguro: una visión con OpenSAMM “In the 80’s we wired the world with cables and in the 90’s we wired the world with computer networks. Today we are wiring the world with applications (software). Having a skilled professional capable of designing, developing and deploying secure software is now critical to this evolving world.” Mark Curphey Director & Product Unit Manager, Microsoft Corporation Founder of Open Web Application Security Project (OWASP)
  • 6. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 6 Desarrollo de software seguro: una visión con OpenSAMM ¿Porqué resulta ahora crítico? • Las aplicaciones web resultan muy atractivas • La trinidad de los problemas: • Conectividad • Complejidad • Extensibilidad … y existen estándares de obligado cumplimiento! (PCI DSS, SOX, GLB Act, HIPAA, FISMA, …) Nuestra vida cotidiana depende del software
  • 7. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 7 Desarrollo de software seguro: una visión con OpenSAMM Todo es posible en la web…
  • 8. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 8 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
  • 9. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 9 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
  • 10. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 10 Desarrollo de software seguro: una visión con OpenSAMM Escenario actual Fuente: WASC Web Hacking Incident Database
  • 11. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 11 Desarrollo de software seguro: una visión con OpenSAMM ¿Qué es software seguro? • Diseñado, construido y probado para ser seguro • Continúa ejecutándose correctamente bajo un ataque • Diseñado con el fallo en mente Romper algo es más fácil que diseñar algo para que no pueda ser roto
  • 12. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 12 Desarrollo de software seguro: una visión con OpenSAMM ¿Qué es software seguro? Improving Web Application Security: Threats and countermeasures
  • 13. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 13 Desarrollo de software seguro: una visión con OpenSAMM 2│El SDLC seguro es la clave
  • 14. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 14 Desarrollo de software seguro: una visión con OpenSAMM El SDLC seguro es la clave • SDLC basado en principios de seguridad • No existe una fórmula única para todas las organizaciones • Requiere involucrar los siguientes factores: • Personas • Procesos • Tecnología SDLC genérico
  • 15. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 15 Desarrollo de software seguro: una visión con OpenSAMM Buenas prácticas • Microsoft SDL (Secure Development Lifecycle) • OWASP CLASP (Comprehensive, Lightweight Application Security Process) • Cigital Software Security Touchpoints • OWASP OpenSAMM (Software Assurance Maturity Model) • BSIMM (Building Security In Maturity Model) • SSE CMM (Secure Software Engineering Capability Maturity Model)
  • 16. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 16 Desarrollo de software seguro: una visión con OpenSAMM 3│OpenSAMM como estrategia de seguridad
  • 17. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 17 Desarrollo de software seguro: una visión con OpenSAMM OWASP OpenSAMM • Marco abierto para ayudar a las organizaciones a diseñar e implementar una estrategia para la creación de software seguro • Los recursos facilitados por OpenSAMM ayudan a: • Evaluar las prácticas de seguridad existentes • Demostrar mejoras concretas • Definir y medir actividades relacionadas con la seguridad • Construir un programa de aseguramiento de la seguridad en software
  • 18. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 18 Desarrollo de software seguro: una visión con OpenSAMM OWASP OpenSAMM
  • 19. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 19 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Estrategia y métricas
  • 20. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 20 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Política y cumplimiento
  • 21. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 21 Desarrollo de software seguro: una visión con OpenSAMM Gobierno - Educación y orientación
  • 22. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 22 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Evaluación de amenazas
  • 23. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 23 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Requisitos de seguridad
  • 24. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 24 Desarrollo de software seguro: una visión con OpenSAMM Construcción – Arquitectura de seguridad
  • 25. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 25 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Revisión de diseño
  • 26. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 26 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Revisión de código
  • 27. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 27 Desarrollo de software seguro: una visión con OpenSAMM Verificación – Pruebas de seguridad
  • 28. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 28 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Gestión de vuln.
  • 29. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 29 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Securización del entorno
  • 30. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 30 Desarrollo de software seguro: una visión con OpenSAMM Implementación – Habilitación operativa
  • 31. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 31 Desarrollo de software seguro: una visión con OpenSAMM 4│Aplicando el modelo OpenSAMM
  • 32. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 32 Desarrollo de software seguro: una visión con OpenSAMM Aplicando OpenSAMM • Realizar una revisión inicial • Medir las prácticas de la organización frente las prácticas de seguridad definidas por el modelo • Definir el nivel de madurez actual • Dos estilos de revisiones • Ligero • Detallado
  • 33. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 33 Desarrollo de software seguro: una visión con OpenSAMM Aplicando OpenSAMM • Construir programas de aseguramiento de la seguridad • Crear una hoja de ruta o usar una plantilla • Realizar las actividades prescritas para alcanzar el nivel de madurez esperado
  • 34. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 34 Desarrollo de software seguro: una visión con OpenSAMM Hojas de trabajo para las revisiones
  • 35. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 35 Desarrollo de software seguro: una visión con OpenSAMM Creando tarjetas de calificaciones • Permite demostrar la evolución • Basado en las puntuaciones asignadas a cada práctica de seguridad • Puede resultar tan simple como un conjunto de 12 puntuaciones para un momento concreto
  • 36. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 36 Desarrollo de software seguro: una visión con OpenSAMM Hoja de ruta • Define la estrategia de implementación • Es una estrategia a largo plazo • Depende de las prioridades de cada organización
  • 37. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 37 Desarrollo de software seguro: una visión con OpenSAMM ¿Cuáles son los beneficios? • Permite implementar las mejores prácticas utilizadas hoy y aprovechar la experiencia en su implementación • Proporciona una manera de revisar el estado de una organización y priorizar los cambios • Proporciona una manera de construir un programa de seguridad en el desarrollo mediante iteraciones claramente definidas • Permite definir y medir actividades relacionadas con la seguridad • Permite demostrar mejoras concretas en la seguridad
  • 38. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 38 Desarrollo de software seguro: una visión con OpenSAMM 5│Conclusiones
  • 39. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 39 Desarrollo de software seguro: una visión con OpenSAMM Conclusiones • La mayoría de los ataques se producen en la capa de aplicación • Necesitamos invertir más en la protección de nuestras aplicaciones • Necesitamos crear software seguro • Necesitamos adoptar una estrategia de seguridad para la creación de software • El software seguro es el resultado de múltiples actividades • Requiere involucrar personas, procesos y tecnología
  • 40. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 40 Desarrollo de software seguro: una visión con OpenSAMM Conclusiones • Mejorar la seguridad del software implica un cambio cultural en la organización • Debemos cambiar la forma en la que trabaja nuestra organización
  • 41. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 41 Desarrollo de software seguro: una visión con OpenSAMM 6│Referencias
  • 42. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 42 Desarrollo de software seguro: una visión con OpenSAMM Referencias • Improving Web Application Security: • OWASP OpenSAMM: • The Ten Best Practices for Secure Software Development: http://www.isc2.org/uploadedFiles/(ISC)2_Public_Content/Certificat ion_Programs/CSSLP/ISC2_WPIV.pdf http://msdn.microsoft.com/en-us/library/ff649874.aspx http://www.opensamm.org • PCI Data Security Standard https://www.pcisecuritystandards.org
  • 43. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 43 Desarrollo de software seguro: una visión con OpenSAMM ? preguntas / comentarios / sugerencias Muchas gracias por su atención!
  • 44. © I n t e r n e t S e c u r i t y A u d i t o r s • M a y o 2 0 1 2 • P. 44 Desarrollo de software seguro: una visión con OpenSAMM Su Seguridad es Nuestro Éxito Vicente Aguilera Díaz Director Departamento Auditoría Internet Security Auditors vaguilera@isecauditors.com C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96 www.isecauditors.com