SlideShare una empresa de Scribd logo

Calidad y Seguridad en el Desarrollo de Software

Roger CARHUATOCTO
Roger CARHUATOCTO

QA and Security Testing in the SDLC

Tecnología
1 de 13
Calidad y Seguridad en Procesos de Desarrollo de Software Roger Carhuatocto <roger.carhuatocto@in2.es> IN2-Ingeniería de la Información www.IN2.es GOS4i / IN2, Ingeniería de la Información GOS4i / IN2, Ingeniería de la Información – 2005
Objetivos • Reflexión sobre problema de la seguridad en las organizaciones y cómo se están resolviendo. • Énfasis en el Proceso de Desarrollo de Sofware (Preventivo) • Énfasis en las metodologías de aseguramiento de la calidad y seguridad en procesos de desarrollo de software como actividad preventiva. [2] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Situación actual - Análisis • Seguridad reactiva – Antivirus – IDS – Firewall – Honeypots, etc.. • Mucho testing, pentest, análisis de vulnerabilidades, poca Ingeniería. – El Testing de Seguridad es usado para identificar vulnerabilidades sobre Producto Final. – Ejm: Nessus – Se soluciona los “bugs”, no el origen de ellos • ¿Dónde está el origen de los problemas? – Se usa enfoque reductivo, no holístico (enfoque sistémico) al resolver el problema de Seguridad • Debilidad en el Sistema de Gestión de Seguridad – Personas – Software, Hardware y otro tipo de infraestructura – Procesos de Negocio – Información – ¿Cuál es el elemento más débil? • La seguridad no se ajusta a dónde se enfocan las actuales soluciones [3] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Replanteando el problema:Enfoque Sistémico • Busquemos el Origen del Problema de la Seguridad • Usar un nuevo enfoque. • Enfoque Sistémico del Problema de la Seguridad (Enfoque Holístico) – Considerar todos los elementos: Personas, SW, HW, Información, Red, etc. – Nos centramos en el elemento que nos interesa, el Software. Es el elemento más débil? – Análisis del Proceso de Desarrollo SW en lugar del Producto resultante – Definir acciones(seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW [4] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Enfoque Sistémico: Conclusiones • Sólo estamos tomando acciones preventivas sobre el producto final (testing de seguridad) • Estamos descuidando la seguridad en otras etapas del Desarrollo de SW • Existen elementos externos al proceso de Desarrollo de SW que se deben considerar, ellos proporcionan ayuda en la prevención: – Sistemas de Gestión de la Calidad – Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente, Facturación, Contabilidad, etc. – Recomendaciones y Metodologías – Herramientas y Técnicas • Bugtracking • CVS • Wiki • Nmap, Nessus, etc…. • Testing tools, etc… [5] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Campos de Acción de QA y Security Desarrollo de Software y Seguridad Aplicaciones Preventiva Sistemas de Gestión Seguridad Lógica Procesos Negocio Networking, Seguridad Sistemas e Reactiva Infraestructura [6] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Revisión del Ciclo de vida del Software Análisis Diseño Construcción Transición •Se define el “Qué?” •Se define el “Cómo?” •Construcción, integración y testing •A producción •Qué aporta Seg. a Negocio? •Objetivos: •Interactivo •La seguridad aparece •Prototipeo •Plan Operativo •Herramientas: •Diseño de Sistema •Monitorización •Requerimientos •Diseño de Objetos •Respuesta a incidentes •Analisis Func y No-Func. •Diseño de Componentes •Casos de Uso •Herramientas: •CRC Cards: •Class, Responsibility, Collaboration •Diagrama de Secuencias y Clases •Definición Servicios Comunes: •Logging, Security, Exception, Etc. •Modelamiento de Amenazas por Casos de Uso •Patrones de Diseño Funcional •Patrones de Diseño de Seguridad (por Amenazas) •Input Validator Pattern •Aspect Oriented Programming •Exception Manager Pattern •Secure Logger Pattern MÉTODOS, HERRAMIENTAS Y TÉCNICAS: QA & SECURITY [7] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Enfoque Sistémico • Enfoque Sistémico del Problema de la Calidad-Seguridad en el Desarrollo de SW (Enfoque Holístico) Calidad Total – Considerar todos los elementos: Personas, SW, HW, Forma de gestión de una organización centrada en la Información, Red, etc. calidad basada en la participación de todos sus – Nos centramos en el elemento que nos interesa (Diagrama miembros y que apunta al éxito a largo plazo por deParetto). Es Software el elemento más débil? medio de la satisfacción del cliente y a proporcionar beneficios para todos los miembros de la organización – Análisis del Proceso de Desarrollo SW en lugar del Producto resultante, extendible a otros elementos externos y para la sociedad. del proceso – El objetivo: definir acciones (seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW Ext Ext – La Seguridad es un tipo de Calidad • Herramientas: Proveedor Proceso Producto Cliente – Sistemas de Gestión de la Calidad – Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente, Facturación, Contabilidad, etc. – Recomendaciones y Metodologías – Herramientas y Técnicas • Bugtracking • CVS, Wiki • Nmap, Nessus, etc…. • Testing tools, etc… [8] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
ROI en Security Software [9] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Aplicando “Pareto”: El Software, el punto más débil [10] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Metodologías y Estándares • De Seguridad – http://www.fistconference.org/data/presentaciones/estandaresymetodologiasdeseguridad.pdf – Conferencias FIST, Nov. 2003 – Vicente Aceituno • Generales – Anexo-Estandares-QA-SEC_RCARHUATOCTO-v1.pdf [11] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Conclusiones Finales • Enfoque Sistémico (Holísitico) • Aplicable a todo el proceso de desarrollo de SW, incluye a la etapa de toma de requerimientos • Usar Metodologías y Estándares de propósito general y de seguridad [12] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Referencias Alan Cox on writing better software By Basheera Khan - Thursday, 07 October 2004 http://www.pingwales.co.uk/software/cox-on-better-software.html Dire Straits The evolution of software opens new vistas for business... and the bad guys. April 2004, By GARY MCGRAW & GREG HOGLUND http://infosecuritymag.techtarget.com/ss/0,295796,sid6_iss366_art684,00.html Introduction to Software Security Date: Nov 2, 2001 By Gary McGraw, John Viega. http://www.awprofessional.com/articles/printerfriendly.asp?p=23950 Centro de Desarrollo Microsoft Seguridad http://www.microsoft.com/spanish/msdn/centro_recursos/security/default.asp [13] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

Recomendados

Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareConferencias FIST
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguroJesus Manuel Gilbert Castro
 
Curso de Ingeniería de Software - Capítulo 1
Curso de Ingeniería de Software - Capítulo 1Curso de Ingeniería de Software - Capítulo 1
Curso de Ingeniería de Software - Capítulo 1Eddie Malca
 
Tecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de softwareTecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de softwareYenifer Bravo
 
Trabajo analisisriesgo22
Trabajo analisisriesgo22Trabajo analisisriesgo22
Trabajo analisisriesgo22Yesslyn Sarmiento
 
Ciclo de vida
Ciclo de vidaCiclo de vida
Ciclo de vidaFeibert Alirio Guzmán Pérez
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareFacultad de Informática UCM
 
Requisitos de software
Requisitos de softwareRequisitos de software
Requisitos de softwareMagister de Ingeniería de Sistemas mención Ingeniería de Software
 

Recomendados

Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareConferencias FIST
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguroJesus Manuel Gilbert Castro
 
Curso de Ingeniería de Software - Capítulo 1
Curso de Ingeniería de Software - Capítulo 1Curso de Ingeniería de Software - Capítulo 1
Curso de Ingeniería de Software - Capítulo 1Eddie Malca
 
Tecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de softwareTecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de softwareYenifer Bravo
 
Trabajo analisisriesgo22
Trabajo analisisriesgo22Trabajo analisisriesgo22
Trabajo analisisriesgo22Yesslyn Sarmiento
 
Ciclo de vida
Ciclo de vidaCiclo de vida
Ciclo de vidaFeibert Alirio Guzmán Pérez
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareFacultad de Informática UCM
 
Requisitos de software
Requisitos de softwareRequisitos de software
Requisitos de softwareMagister de Ingeniería de Sistemas mención Ingeniería de Software
 
Unidad 1 Ingenieria de software
Unidad 1 Ingenieria de softwareUnidad 1 Ingenieria de software
Unidad 1 Ingenieria de softwareJahiro Bojorquez
 
Tarea8
Tarea8Tarea8
Tarea8Jonathan Barrera
 
Paradigmas
ParadigmasParadigmas
ParadigmasVictor Zapata
 
Mirla montano
Mirla montanoMirla montano
Mirla montanoMirla Montaño
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1Andres1dz
 
Enfoque de auditoria veru y feibert
Enfoque de auditoria veru y feibertEnfoque de auditoria veru y feibert
Enfoque de auditoria veru y feibertFeibert Alirio Guzmán Pérez
 
Controles de desarrollo de Software
Controles de desarrollo de SoftwareControles de desarrollo de Software
Controles de desarrollo de SoftwareSantander David Navarro
 
90 PREGUNTAS DE ANALISIS Y DISEÑO DE SISTEMAS 1
90 PREGUNTAS DE ANALISIS Y DISEÑO DE SISTEMAS 190 PREGUNTAS DE ANALISIS Y DISEÑO DE SISTEMAS 1
90 PREGUNTAS DE ANALISIS Y DISEÑO DE SISTEMAS 1AndrezMendozaMelendr
 
Gestión de proyectos gestión de proyectos de software
Gestión de proyectos gestión de proyectos de softwareGestión de proyectos gestión de proyectos de software
Gestión de proyectos gestión de proyectos de softwareSebastian Dominguez Garrido
 
Técnicas y Herramientas para el Desarrollo de Sistemas de Información
Técnicas y Herramientas para el Desarrollo de Sistemas de InformaciónTécnicas y Herramientas para el Desarrollo de Sistemas de Información
Técnicas y Herramientas para el Desarrollo de Sistemas de InformaciónBriRodriguez
 
Introduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoIntroduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoingenierocj
 
Software configuration managment
Software configuration managmentSoftware configuration managment
Software configuration managmentMagister de Ingeniería de Sistemas mención Ingeniería de Software
 
Metodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de informaciónMetodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de informaciónJose Martinez
 
metricas de software si-504
metricas de software si-504metricas de software si-504
metricas de software si-504Karl T Orihuela
 
Las Claves para Gestionar Proyectos de Sistemas de Información
Las Claves para Gestionar Proyectos de Sistemas de InformaciónLas Claves para Gestionar Proyectos de Sistemas de Información
Las Claves para Gestionar Proyectos de Sistemas de InformaciónSolutions DAT
 
Gestión de riesgo
Gestión de riesgoGestión de riesgo
Gestión de riesgoCristian Villalva
 
Métricas del proceso y proyecto - Procesos de Ingeniería de software
Métricas del proceso y proyecto - Procesos de Ingeniería de softwareMétricas del proceso y proyecto - Procesos de Ingeniería de software
Métricas del proceso y proyecto - Procesos de Ingeniería de softwareGalo Lalangui
 
Analisis y gestion_de_riesgos
Analisis y gestion_de_riesgosAnalisis y gestion_de_riesgos
Analisis y gestion_de_riesgosAnahi Flores
 
Unidad uno ingenieria de software
Unidad uno ingenieria de softwareUnidad uno ingenieria de software
Unidad uno ingenieria de softwaresonygodoyhortua
 
Conceptos I Sw
Conceptos I SwConceptos I Sw
Conceptos I SwGustavo Martínez Villalobos
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras Universidad Cenfotec
 

Más contenido relacionado

La actualidad más candente

Unidad 1 Ingenieria de software
Unidad 1 Ingenieria de softwareUnidad 1 Ingenieria de software
Unidad 1 Ingenieria de softwareJahiro Bojorquez
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1Andres1dz
 
90 PREGUNTAS DE ANALISIS Y DISEÑO DE SISTEMAS 1
90 PREGUNTAS DE ANALISIS Y DISEÑO DE SISTEMAS 190 PREGUNTAS DE ANALISIS Y DISEÑO DE SISTEMAS 1
90 PREGUNTAS DE ANALISIS Y DISEÑO DE SISTEMAS 1AndrezMendozaMelendr
 
Gestión de proyectos gestión de proyectos de software
Gestión de proyectos gestión de proyectos de softwareGestión de proyectos gestión de proyectos de software
Gestión de proyectos gestión de proyectos de softwareSebastian Dominguez Garrido
 
Técnicas y Herramientas para el Desarrollo de Sistemas de Información
Técnicas y Herramientas para el Desarrollo de Sistemas de InformaciónTécnicas y Herramientas para el Desarrollo de Sistemas de Información
Técnicas y Herramientas para el Desarrollo de Sistemas de InformaciónBriRodriguez
 
Introduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoIntroduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoingenierocj
 
Metodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de informaciónMetodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de informaciónJose Martinez
 
metricas de software si-504
metricas de software si-504metricas de software si-504
metricas de software si-504Karl T Orihuela
 
Las Claves para Gestionar Proyectos de Sistemas de Información
Las Claves para Gestionar Proyectos de Sistemas de InformaciónLas Claves para Gestionar Proyectos de Sistemas de Información
Las Claves para Gestionar Proyectos de Sistemas de InformaciónSolutions DAT
 
Métricas del proceso y proyecto - Procesos de Ingeniería de software
Métricas del proceso y proyecto - Procesos de Ingeniería de softwareMétricas del proceso y proyecto - Procesos de Ingeniería de software
Métricas del proceso y proyecto - Procesos de Ingeniería de softwareGalo Lalangui
 
Analisis y gestion_de_riesgos
Analisis y gestion_de_riesgosAnalisis y gestion_de_riesgos
Analisis y gestion_de_riesgosAnahi Flores
 
Unidad uno ingenieria de software
Unidad uno ingenieria de softwareUnidad uno ingenieria de software
Unidad uno ingenieria de softwaresonygodoyhortua
 

La actualidad más candente (20)

Unidad 1 Ingenieria de software
Unidad 1 Ingenieria de softwareUnidad 1 Ingenieria de software
Unidad 1 Ingenieria de software
 
Tarea8
Tarea8Tarea8
Tarea8
 
Paradigmas
ParadigmasParadigmas
Paradigmas
 
Mirla montano
Mirla montanoMirla montano
Mirla montano
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1
 
Enfoque de auditoria veru y feibert
Enfoque de auditoria veru y feibertEnfoque de auditoria veru y feibert
Enfoque de auditoria veru y feibert
 
Controles de desarrollo de Software
Controles de desarrollo de SoftwareControles de desarrollo de Software
Controles de desarrollo de Software
 
90 PREGUNTAS DE ANALISIS Y DISEÑO DE SISTEMAS 1
90 PREGUNTAS DE ANALISIS Y DISEÑO DE SISTEMAS 190 PREGUNTAS DE ANALISIS Y DISEÑO DE SISTEMAS 1
90 PREGUNTAS DE ANALISIS Y DISEÑO DE SISTEMAS 1
 
Gestión de proyectos gestión de proyectos de software
Gestión de proyectos gestión de proyectos de softwareGestión de proyectos gestión de proyectos de software
Gestión de proyectos gestión de proyectos de software
 
Técnicas y Herramientas para el Desarrollo de Sistemas de Información
Técnicas y Herramientas para el Desarrollo de Sistemas de InformaciónTécnicas y Herramientas para el Desarrollo de Sistemas de Información
Técnicas y Herramientas para el Desarrollo de Sistemas de Información
 
Introduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complementoIntroduccion a la auditoria de sistemas de informacion complemento
Introduccion a la auditoria de sistemas de informacion complemento
 
Software configuration managment
Software configuration managmentSoftware configuration managment
Software configuration managment
 
Metodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de informaciónMetodologías de diseño y desarrollo de sistemas de información
Metodologías de diseño y desarrollo de sistemas de información
 
metricas de software si-504
metricas de software si-504metricas de software si-504
metricas de software si-504
 
Las Claves para Gestionar Proyectos de Sistemas de Información
Las Claves para Gestionar Proyectos de Sistemas de InformaciónLas Claves para Gestionar Proyectos de Sistemas de Información
Las Claves para Gestionar Proyectos de Sistemas de Información
 
Gestión de riesgo
Gestión de riesgoGestión de riesgo
Gestión de riesgo
 
Métricas del proceso y proyecto - Procesos de Ingeniería de software
Métricas del proceso y proyecto - Procesos de Ingeniería de softwareMétricas del proceso y proyecto - Procesos de Ingeniería de software
Métricas del proceso y proyecto - Procesos de Ingeniería de software
 
Analisis y gestion_de_riesgos
Analisis y gestion_de_riesgosAnalisis y gestion_de_riesgos
Analisis y gestion_de_riesgos
 
Unidad uno ingenieria de software
Unidad uno ingenieria de softwareUnidad uno ingenieria de software
Unidad uno ingenieria de software
 
Conceptos I Sw
Conceptos I SwConceptos I Sw
Conceptos I Sw
 

Similar a Calidad y Seguridad en el Desarrollo de Software

Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Optimyth Software
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
 
GestióN De Proyectos Software
GestióN De Proyectos SoftwareGestióN De Proyectos Software
GestióN De Proyectos SoftwareUCPR
 
SEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICANallely2017
 
Sistemas información
Sistemas informaciónSistemas información
Sistemas informaciónjorgeruaa
 
Security in off-shore Application Development
Security in off-shore Application DevelopmentSecurity in off-shore Application Development
Security in off-shore Application DevelopmentConferencias FIST
 
fundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaarefundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaareLuz
 
Diseños de planes de pruebas de software1
Diseños de planes de pruebas de software1Diseños de planes de pruebas de software1
Diseños de planes de pruebas de software1Vanessa Toral Yépez
 
Diseã±os de planes_de_pruebas_de_software1
Diseã±os de planes_de_pruebas_de_software1Diseã±os de planes_de_pruebas_de_software1
Diseã±os de planes_de_pruebas_de_software1naviwz
 

Similar a Calidad y Seguridad en el Desarrollo de Software (20)

Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras
 
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
Hacia la seguridad del software: Enfoque preventivo del análisis de código. -...
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
 
Desarrollo de proyectos
Desarrollo de proyectosDesarrollo de proyectos
Desarrollo de proyectos
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
 
GestióN De Proyectos Software
GestióN De Proyectos SoftwareGestióN De Proyectos Software
GestióN De Proyectos Software
 
SEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICA
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Sistemas información
Sistemas informaciónSistemas información
Sistemas información
 
Security in off-shore Application Development
Security in off-shore Application DevelopmentSecurity in off-shore Application Development
Security in off-shore Application Development
 
Auditoría Informática
Auditoría InformáticaAuditoría Informática
Auditoría Informática
 
fundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaarefundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaare
 
Metodología Ágil
Metodología ÁgilMetodología Ágil
Metodología Ágil
 
Expo
ExpoExpo
Expo
 
El proceso
El procesoEl proceso
El proceso
 
Diseños de planes de pruebas de software1
Diseños de planes de pruebas de software1Diseños de planes de pruebas de software1
Diseños de planes de pruebas de software1
 
S1-CDSQA.pptx
S1-CDSQA.pptxS1-CDSQA.pptx
S1-CDSQA.pptx
 
Ciclo de Vida y roles
Ciclo de Vida y roles Ciclo de Vida y roles
Ciclo de Vida y roles
 
Diseã±os de planes_de_pruebas_de_software1
Diseã±os de planes_de_pruebas_de_software1Diseã±os de planes_de_pruebas_de_software1
Diseã±os de planes_de_pruebas_de_software1
 

Más de Roger CARHUATOCTO

[Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2 [Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2 Roger CARHUATOCTO
 
[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2Roger CARHUATOCTO
 
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...Roger CARHUATOCTO
 
Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)Roger CARHUATOCTO
 
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)Roger CARHUATOCTO
 
BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2Roger CARHUATOCTO
 
Chakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and PenroseChakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and PenroseRoger CARHUATOCTO
 
Introducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.xIntroducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.xRoger CARHUATOCTO
 
WSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto PlatformWSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto PlatformRoger CARHUATOCTO
 
Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1Roger CARHUATOCTO
 
Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network Roger CARHUATOCTO
 
03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intix03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intixRoger CARHUATOCTO
 
01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intix01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intixRoger CARHUATOCTO
 
02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intixRoger CARHUATOCTO
 
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1Roger CARHUATOCTO
 
1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop Flyer1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop FlyerRoger CARHUATOCTO
 
Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4Roger CARHUATOCTO
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2Roger CARHUATOCTO
 

Más de Roger CARHUATOCTO (20)

[Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2 [Webinar] Creando un "backend" con WSO2
[Webinar] Creando un "backend" con WSO2
 
[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2[Webinar] SOA ágil con WSO2
[Webinar] SOA ágil con WSO2
 
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
 
Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)Comparativa de Suites BPM free open source (v1.0-20110721)
Comparativa de Suites BPM free open source (v1.0-20110721)
 
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
 
BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2BizLife - Construyendo un Ecosistema Empresarial usando WSO2
BizLife - Construyendo un Ecosistema Empresarial usando WSO2
 
Chakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and PenroseChakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Chakray.com - Enterprise Security and IAM with WSO2IS and Penrose
 
Introducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.xIntroducción a la gestión de contenidos web con Liferay Portal 6.1.x
Introducción a la gestión de contenidos web con Liferay Portal 6.1.x
 
WSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto PlatformWSO2Con 2013 - WSO2 as a Crypto Platform
WSO2Con 2013 - WSO2 as a Crypto Platform
 
Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Drupal camp2010bcn cmis-drupal_alfresco-v1.1
 
Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network Fast building Vertical Portals: e-Learning and Social Network
Fast building Vertical Portals: e-Learning and Social Network
 
03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intix03 webinar content_deliveryplatform_v1.0-intix
03 webinar content_deliveryplatform_v1.0-intix
 
01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intix01 webinar caso_migracion_portalweb_v1.4.1-intix
01 webinar caso_migracion_portalweb_v1.4.1-intix
 
02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix02 webinar gestion_expedientes_v0.6.1-intix
02 webinar gestion_expedientes_v0.6.1-intix
 
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
 
1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop Flyer1st Peruvian It Security Workshop Flyer
1st Peruvian It Security Workshop Flyer
 
PKI Aplicada V1.3
PKI Aplicada V1.3PKI Aplicada V1.3
PKI Aplicada V1.3
 
Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4Calidad y Seguridad en el SDLC V1 4
Calidad y Seguridad en el SDLC V1 4
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2
 
Digital Forensics V1.4
Digital Forensics V1.4Digital Forensics V1.4
Digital Forensics V1.4
 

Último

LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 

Último (20)

LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 

Calidad y Seguridad en el Desarrollo de Software

  • 1. Calidad y Seguridad en Procesos de Desarrollo de Software Roger Carhuatocto <roger.carhuatocto@in2.es> IN2-Ingeniería de la Información www.IN2.es GOS4i / IN2, Ingeniería de la Información GOS4i / IN2, Ingeniería de la Información – 2005
  • 2. Objetivos • Reflexión sobre problema de la seguridad en las organizaciones y cómo se están resolviendo. • Énfasis en el Proceso de Desarrollo de Sofware (Preventivo) • Énfasis en las metodologías de aseguramiento de la calidad y seguridad en procesos de desarrollo de software como actividad preventiva. [2] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 3. Situación actual - Análisis • Seguridad reactiva – Antivirus – IDS – Firewall – Honeypots, etc.. • Mucho testing, pentest, análisis de vulnerabilidades, poca Ingeniería. – El Testing de Seguridad es usado para identificar vulnerabilidades sobre Producto Final. – Ejm: Nessus – Se soluciona los “bugs”, no el origen de ellos • ¿Dónde está el origen de los problemas? – Se usa enfoque reductivo, no holístico (enfoque sistémico) al resolver el problema de Seguridad • Debilidad en el Sistema de Gestión de Seguridad – Personas – Software, Hardware y otro tipo de infraestructura – Procesos de Negocio – Información – ¿Cuál es el elemento más débil? • La seguridad no se ajusta a dónde se enfocan las actuales soluciones [3] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 4. Replanteando el problema:Enfoque Sistémico • Busquemos el Origen del Problema de la Seguridad • Usar un nuevo enfoque. • Enfoque Sistémico del Problema de la Seguridad (Enfoque Holístico) – Considerar todos los elementos: Personas, SW, HW, Información, Red, etc. – Nos centramos en el elemento que nos interesa, el Software. Es el elemento más débil? – Análisis del Proceso de Desarrollo SW en lugar del Producto resultante – Definir acciones(seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW [4] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 5. Enfoque Sistémico: Conclusiones • Sólo estamos tomando acciones preventivas sobre el producto final (testing de seguridad) • Estamos descuidando la seguridad en otras etapas del Desarrollo de SW • Existen elementos externos al proceso de Desarrollo de SW que se deben considerar, ellos proporcionan ayuda en la prevención: – Sistemas de Gestión de la Calidad – Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente, Facturación, Contabilidad, etc. – Recomendaciones y Metodologías – Herramientas y Técnicas • Bugtracking • CVS • Wiki • Nmap, Nessus, etc…. • Testing tools, etc… [5] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 6. Campos de Acción de QA y Security Desarrollo de Software y Seguridad Aplicaciones Preventiva Sistemas de Gestión Seguridad Lógica Procesos Negocio Networking, Seguridad Sistemas e Reactiva Infraestructura [6] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 7. Revisión del Ciclo de vida del Software Análisis Diseño Construcción Transición •Se define el “Qué?” •Se define el “Cómo?” •Construcción, integración y testing •A producción •Qué aporta Seg. a Negocio? •Objetivos: •Interactivo •La seguridad aparece •Prototipeo •Plan Operativo •Herramientas: •Diseño de Sistema •Monitorización •Requerimientos •Diseño de Objetos •Respuesta a incidentes •Analisis Func y No-Func. •Diseño de Componentes •Casos de Uso •Herramientas: •CRC Cards: •Class, Responsibility, Collaboration •Diagrama de Secuencias y Clases •Definición Servicios Comunes: •Logging, Security, Exception, Etc. •Modelamiento de Amenazas por Casos de Uso •Patrones de Diseño Funcional •Patrones de Diseño de Seguridad (por Amenazas) •Input Validator Pattern •Aspect Oriented Programming •Exception Manager Pattern •Secure Logger Pattern MÉTODOS, HERRAMIENTAS Y TÉCNICAS: QA & SECURITY [7] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 8. Enfoque Sistémico • Enfoque Sistémico del Problema de la Calidad-Seguridad en el Desarrollo de SW (Enfoque Holístico) Calidad Total – Considerar todos los elementos: Personas, SW, HW, Forma de gestión de una organización centrada en la Información, Red, etc. calidad basada en la participación de todos sus – Nos centramos en el elemento que nos interesa (Diagrama miembros y que apunta al éxito a largo plazo por deParetto). Es Software el elemento más débil? medio de la satisfacción del cliente y a proporcionar beneficios para todos los miembros de la organización – Análisis del Proceso de Desarrollo SW en lugar del Producto resultante, extendible a otros elementos externos y para la sociedad. del proceso – El objetivo: definir acciones (seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW Ext Ext – La Seguridad es un tipo de Calidad • Herramientas: Proveedor Proceso Producto Cliente – Sistemas de Gestión de la Calidad – Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente, Facturación, Contabilidad, etc. – Recomendaciones y Metodologías – Herramientas y Técnicas • Bugtracking • CVS, Wiki • Nmap, Nessus, etc…. • Testing tools, etc… [8] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 9. ROI en Security Software [9] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 10. Aplicando “Pareto”: El Software, el punto más débil [10] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 11. Metodologías y Estándares • De Seguridad – http://www.fistconference.org/data/presentaciones/estandaresymetodologiasdeseguridad.pdf – Conferencias FIST, Nov. 2003 – Vicente Aceituno • Generales – Anexo-Estandares-QA-SEC_RCARHUATOCTO-v1.pdf [11] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 12. Conclusiones Finales • Enfoque Sistémico (Holísitico) • Aplicable a todo el proceso de desarrollo de SW, incluye a la etapa de toma de requerimientos • Usar Metodologías y Estándares de propósito general y de seguridad [12] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 13. Referencias Alan Cox on writing better software By Basheera Khan - Thursday, 07 October 2004 http://www.pingwales.co.uk/software/cox-on-better-software.html Dire Straits The evolution of software opens new vistas for business... and the bad guys. April 2004, By GARY MCGRAW & GREG HOGLUND http://infosecuritymag.techtarget.com/ss/0,295796,sid6_iss366_art684,00.html Introduction to Software Security Date: Nov 2, 2001 By Gary McGraw, John Viega. http://www.awprofessional.com/articles/printerfriendly.asp?p=23950 Centro de Desarrollo Microsoft Seguridad http://www.microsoft.com/spanish/msdn/centro_recursos/security/default.asp [13] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software