SlideShare una empresa de Scribd logo

Seguridad en el ciclo de desarrollo del software

Descargar como DOCX, PDF
Anel Sosa
Anel Sosa

Investigacion Seguridad en el ciclo de desarrollo del software

Ingeniería
1 de 7
INGENIERIA EN SISTEMAS COMPUTACIONALES INGENIERIA DE SOFTWARE Unidad IV: SEGURIDAD EN EL CICLO DE DESARROLLO DEL SOFTWARE ISC GI SANTANA ESPARZA S501 08-12-2016 HERNANDEZ MEDINA JOSUE SOSA MEJIA ANEL VERONICA VIZCAINO NUÑEZ JOSÉ ALFONSO Fecha de entrega:19/09/201
SEGURIDAD EN EL CICLO DE DESARROLLO DEL SOFTWARE INTRODUCCION El ciclo de desarrollo de software consta de cinco fases que son análisis diseño, codificación, pruebas e implementación, en esta investigación a continuación se hablará sobre la importancia de la seguridad en cada una de las fases y que controles se pueden implementar. En el análisis se identifican los requerimientos, por eso se pueden identificar diversidad característica que derivaran en los requerimientos de seguridad en el software. Después sigue la etapa de diseño, en esta etapa se dice que es más propensa a tener vulnerabilidades en cuanto a seguridad, se mencionaran prácticas para un diseño seguro de la aplicación. Algunos desarrolladores implementan un el análisis de riesgos para obviamente tener un mejor resultado final en cuanto a calidad del software en este tema se mencionarán las etapas de esta. En la etapa de decodificación se va a mencionar unas buenas prácticas para decodificar seguramente, por último se verá la etapa de implementación es muy importante revisar que las configuraciones que se requieran sean realizadas, en este punto se deben contemplar tareas tales como: (cambio de usuario y contraseñas iniciales o por defecto, borrado de datos de pruebas, cambios de permisos de acceso entre otros).
Fase de análisis En esta fase se identifican los requisitos funcionales que tendrán impacto en los aspectos de seguridad algunos de ellos son: Requisitos de conformidad Normativas locales e internacionales. Tipo de información que se manejara. Arquitectura en donde se montara la aplicacion(es). modo de autenticación (pass, biométrico, etc.). acceso a los datos (permisos por perfiles). Fase del diseño Antes de comenzar a escribir líneas de código, hay varios aspectos que se deben tener en cuenta durante esta fase, algunos de ellos son: Diseño de autorización (roles, permisos, privilegios en la aplicación) Diseño de mensajes de advertencia y errores para evitar suministrar mucha información e impedir futuros ataques. Mecanismo de protección de datos (acá se define el modo como se protegerá la información). Buenas prácticas para el desarrollo de una aplicación segura:  Reducción de superficie de ataque  Diseño seguro de mensajes de error  Diseño seguro de autentificación  Análisis de riesgo Método stride
Este método ayuda a identificar amenazas en los componentes de un sistema su nombre es un acrónimo de Spoofing identity: Suplantarla identidad de otro usuario o servicio Tampering with data: Modificar maliciosamente datos almacenados. Repudiation: imposibilidad de identificar el autor de una acción Information disclosure: Divulgar información a usuarios no autorizados. Denial of Service: Provocar que un servicio deje de funcionar Elevation of privilege: conseguir privilegios mayores a los asignados Fase Decodificación En esta fase se codifican los diferentes componentes de la aplicación, y es donde suelen incluirse por error u omisión varias vulnerabilidades. estas vulnerabilidades las podemos clasificar en dos grupos: clásicas y funcionales. Clásicas: Son errores típicos como manejo de sesiones, desbordamiento de buffer, denegación de servicios, etc. Funcionales: Son aquellas que están ligadas a las funcionalidades de la aplicación, por ejemplo el mal cálculo del IVA en una factura de compra, una aplicación de banca electrónica que permita realizar transferencias de valores negativos. En esta etapa es fundamental revisar los valores de entradas y salidas, esto con el fin de evitar futuras fallos o inconsistencias en la información. Buenas prácticas para una codificación segura  Validar siempre los datos de entrada antes de procesarlos.  Nunca confiar en que los datos recibidos sean correctos  Realizar validación de datos en todas las validaciones
 Usar siempre criterio “White list” en la  Controlar tamaño y tipo de datos  “sanitizar” los valores de entrada y salida  Eliminar o “escapear” caracteres especiales  Transformar los datos de entrada a un “encoding” establecido  Reemplazar sentencias SQL dinámicas por Stores Procedures  Evitar generar código con valores ingresados por el usuario  No mezclar datos con código  Capturar errores de capas inferiores y no mostrarlos al usuario Técnicas de testing de seguridad: testing de seguridad funcional Testing (clásico) aplicada seguridad de una aplicación ej.,  Requerimiento de autenticación  Requerimiento de complejidad de contraseñas  Bloqueo automático de cuentas  Funcionalidad de captchas Testing de seguridad basado en riesgo  Técnica que se desprende del treah modeling  Se identifican todas las interfaces de la aplicación  Se generan casos de test sobre cada interfaz basado en strid Revisión de código Permite encontrar vulnerabilidades que son muy difíciles de detectar con otros métodos de testing de seguridad  Enfoque tradicional: grupo de revisión
 Enfoque rápido: revisión por pares Fase De Pruebas En esta etapa es fundamental revisar los valores de entradas y salidas, esto con el fin de evitar futuras fallos o inconsistencias en la información. Fase de Codificación En esta fase como su nombre lo Indica es donde se hace las pruebas de las funcionales que se espera que realice la aplicación, según los requerimientos del cliente. Normalmente en esta etapa hay un desfasaje entre el diseño original (lo que se espera que haga) y la implementación real (lo que realmente hace). aquí surgen 3 áreas bien definidas: Lo que fue definido y la aplicación hace. Lo que fue definido y la aplicación no hace(errores funcionales). Lo que no fue definido pero la aplicación hace. Es acá donde los testing de seguridad se basa principalmente en probar la aplicación con escenarios no planificados como son: (valores mutados, fuera del rango, tipos incorrectos, acciones fuera del orden, etc.). Existen herramientas que permiten la detección de errores pero se debe tener presente que para obtener los mejores resultados se deben combinar las técnicas tanto manuales como las automáticas Fase de Implementación En esta fase es la puesta en producción por ello es muy importante revisar que las configuraciones que se requieran sean realizadas, en este punto se deben contemplar tareas tales como: (cambio de usuario y contraseñas iniciales o por defecto, borrado de datos de pruebas, cambios de permisos de acceso entre otros.). También es muy importante mantener separados los ambientes de desarrollo,
pruebas y producción y garantizar que el traspaso de un ambiente a otro no ocasione ningún tipo de problema Conclusión La seguridad, debe implementarse en todas las fases del ciclo de vida de desarrollo. Es importante que las organizaciones tengan en cuenta los analistas de seguridad para que participen activamente y sean auditores en todos las fases del ciclo de vida de desarrollo. Realizar estas actividades en todas las fases ayudara a reducir el número de vulnerabilidades en la aplicación, así como ahorra tiempo y dinero La gestión de seguridad no termina al entregar el sistema, Después de la entrega, el sistema debe instalarse de acuerdo a lo planificado, de tal forma que el análisis de contingencias siga valido. Después se lleva a cabo la validación de seguridad antes de que el sistema comience a usarse. Muchos de los problemas relacionados a la seguridad tienen lugar debido a un proceso de poco mantenimiento. Finalmente, también deberían tenerse en cuenta consideraciones de seguridad que podrían aplicarse durante el desmantelamiento del sistema. Este punto es muy importante especialmente si trata de un sistema bancario, de vuelos por mencionar algunos ya qué se guardan credenciales personales y se trabaja con dinero, hacer un sistema defectuoso en cuanto a la seguridad podría resultar en un fatal accidente para las personas que utilicen este, así como los ingenieros que desarrollen el sistema

Recomendados

Hacking ético
Hacking éticoHacking ético
Hacking éticoPaulo Colomés
 
Computo Forense, informática forense
Computo Forense, informática forenseComputo Forense, informática forense
Computo Forense, informática forenseUro Cacho
 
Controles de seguridad.pptx
Controles de seguridad.pptxControles de seguridad.pptx
Controles de seguridad.pptxNoelysMeneses1
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001
Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001
Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001PECB
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaMaricarmen García de Ureña
 
Amenaza seguridad informatica
Amenaza seguridad informaticaAmenaza seguridad informatica
Amenaza seguridad informaticaninguna
 
Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresasPedro De La Torre Rodríguez
 

Recomendados

Hacking ético
Hacking éticoHacking ético
Hacking éticoPaulo Colomés
 
Computo Forense, informática forense
Computo Forense, informática forenseComputo Forense, informática forense
Computo Forense, informática forenseUro Cacho
 
Controles de seguridad.pptx
Controles de seguridad.pptxControles de seguridad.pptx
Controles de seguridad.pptxNoelysMeneses1
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001
Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001
Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001PECB
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaMaricarmen García de Ureña
 
Amenaza seguridad informatica
Amenaza seguridad informaticaAmenaza seguridad informatica
Amenaza seguridad informaticaninguna
 
Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresasPedro De La Torre Rodríguez
 
Security Awareness Training
Security Awareness TrainingSecurity Awareness Training
Security Awareness TrainingDaniel P Wallace
 
introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking eticoYulder Bermeo
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informáticafranka99
 
Introduction to Network Security
Introduction to Network SecurityIntroduction to Network Security
Introduction to Network SecurityJohn Ely Masculino
 
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusActividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusFrancisco Medina
 
Incident response methodology
Incident response methodologyIncident response methodology
Incident response methodologyPiyush Jain
 
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la CiberseguridadMSc Aldo Valdez Alvarado
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Ciberseguridad: Modelo Zero Trust, Definición e Implementación
Ciberseguridad: Modelo Zero Trust, Definición e ImplementaciónCiberseguridad: Modelo Zero Trust, Definición e Implementación
Ciberseguridad: Modelo Zero Trust, Definición e ImplementaciónCristian Garcia G.
 
Computer Security Lecture 1: Overview
Computer Security Lecture 1: OverviewComputer Security Lecture 1: Overview
Computer Security Lecture 1: OverviewMohamed Loey
 
Information Security Awareness
Information Security Awareness Information Security Awareness
Information Security Awareness SnapComms
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Melvin Jáquez
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOGiovani Roberto Gómez Millán
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionana anchundia
 
Esteganografía
EsteganografíaEsteganografía
EsteganografíaInsOrelln
 
Ceh v5 module 01 introduction to ethical hacking
Ceh v5 module 01 introduction to ethical hackingCeh v5 module 01 introduction to ethical hacking
Ceh v5 module 01 introduction to ethical hackingVi Tính Hoàng Nam
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadessimondavila
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionalexaloaiza
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativaCristiam Gomez Quijano
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 

Más contenido relacionado

La actualidad más candente

Security Awareness Training
Security Awareness TrainingSecurity Awareness Training
Security Awareness TrainingDaniel P Wallace
 
introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking eticoYulder Bermeo
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informáticafranka99
 
Introduction to Network Security
Introduction to Network SecurityIntroduction to Network Security
Introduction to Network SecurityJohn Ely Masculino
 
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusActividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusFrancisco Medina
 
Incident response methodology
Incident response methodologyIncident response methodology
Incident response methodologyPiyush Jain
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Ciberseguridad: Modelo Zero Trust, Definición e Implementación
Ciberseguridad: Modelo Zero Trust, Definición e ImplementaciónCiberseguridad: Modelo Zero Trust, Definición e Implementación
Ciberseguridad: Modelo Zero Trust, Definición e ImplementaciónCristian Garcia G.
 
Computer Security Lecture 1: Overview
Computer Security Lecture 1: OverviewComputer Security Lecture 1: Overview
Computer Security Lecture 1: OverviewMohamed Loey
 
Information Security Awareness
Information Security Awareness Information Security Awareness
Information Security Awareness SnapComms
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Melvin Jáquez
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionana anchundia
 
Esteganografía
EsteganografíaEsteganografía
EsteganografíaInsOrelln
 
Ceh v5 module 01 introduction to ethical hacking
Ceh v5 module 01 introduction to ethical hackingCeh v5 module 01 introduction to ethical hacking
Ceh v5 module 01 introduction to ethical hackingVi Tính Hoàng Nam
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadessimondavila
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionalexaloaiza
 

La actualidad más candente (20)

Security Awareness Training
Security Awareness TrainingSecurity Awareness Training
Security Awareness Training
 
introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking etico
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informática
 
Introduction to Network Security
Introduction to Network SecurityIntroduction to Network Security
Introduction to Network Security
 
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con NessusActividad No. 6.3: Escaneo de vulnerabilidades con Nessus
Actividad No. 6.3: Escaneo de vulnerabilidades con Nessus
 
Incident response methodology
Incident response methodologyIncident response methodology
Incident response methodology
 
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Ciberseguridad: Modelo Zero Trust, Definición e Implementación
Ciberseguridad: Modelo Zero Trust, Definición e ImplementaciónCiberseguridad: Modelo Zero Trust, Definición e Implementación
Ciberseguridad: Modelo Zero Trust, Definición e Implementación
 
Computer Security Lecture 1: Overview
Computer Security Lecture 1: OverviewComputer Security Lecture 1: Overview
Computer Security Lecture 1: Overview
 
Information Security Awareness
Information Security Awareness Information Security Awareness
Information Security Awareness
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
 
Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Esteganografía
EsteganografíaEsteganografía
Esteganografía
 
Ceh v5 module 01 introduction to ethical hacking
Ceh v5 module 01 introduction to ethical hackingCeh v5 module 01 introduction to ethical hacking
Ceh v5 module 01 introduction to ethical hacking
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 

Similar a Seguridad en el ciclo de desarrollo del software

Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardAlvaro Machaca Tola
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de softwareTensor
 
Ingenieria de requerimientos-05
Ingenieria de requerimientos-05Ingenieria de requerimientos-05
Ingenieria de requerimientos-05Juana Rodríguez
 
Desarrollo de sistemas
Desarrollo de sistemasDesarrollo de sistemas
Desarrollo de sistemasHermes Romero
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicacionesAndres Reyes
 
Presentación 3 eje tematico (3)
Presentación 3 eje tematico (3)Presentación 3 eje tematico (3)
Presentación 3 eje tematico (3)Janethbaquer85
 
Lexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwareLexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwarelexiherrera
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetraciónJSACTMMusic
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasopank77
 
Metodologias de control interno
Metodologias de control internoMetodologias de control interno
Metodologias de control internoRolando Arguello
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docxCLARIBELVILLARREAL
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?Meztli Valeriano Orozco
 

Similar a Seguridad en el ciclo de desarrollo del software (20)

Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativa
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
PCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security StandardPCI DSS - Payment Card Industry Data Security Standard
PCI DSS - Payment Card Industry Data Security Standard
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de software
 
Ingenieria de requerimientos-05
Ingenieria de requerimientos-05Ingenieria de requerimientos-05
Ingenieria de requerimientos-05
 
Desarrollo de sistemas
Desarrollo de sistemasDesarrollo de sistemas
Desarrollo de sistemas
 
ASI
ASIASI
ASI
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguro
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
 
Presentación 3 eje tematico (3)
Presentación 3 eje tematico (3)Presentación 3 eje tematico (3)
Presentación 3 eje tematico (3)
 
Lexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de softwareLexi herrera fundamentos del diseno de software
Lexi herrera fundamentos del diseno de software
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetración
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras
 
Auditoria ii
Auditoria iiAuditoria ii
Auditoria ii
 
Epa aqui
Epa aquiEpa aqui
Epa aqui
 
Metodologias de control interno
Metodologias de control internoMetodologias de control interno
Metodologias de control interno
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?
 

Más de Anel Sosa

Codigo Visual Studio: Galeria de imagenes
Codigo Visual Studio: Galeria de imagenesCodigo Visual Studio: Galeria de imagenes
Codigo Visual Studio: Galeria de imagenesAnel Sosa
 
Comandos sql
Comandos sql Comandos sql
Comandos sql Anel Sosa
 
Codigo ensamblador
Codigo ensamblador Codigo ensamblador
Codigo ensamblador Anel Sosa
 
INVESTIGACION “SOLUCION DE SISTEMAS DE ECUACIONES: METODO DE JACOBY”
INVESTIGACION “SOLUCION DE SISTEMAS DE ECUACIONES: METODO DE JACOBY”INVESTIGACION “SOLUCION DE SISTEMAS DE ECUACIONES: METODO DE JACOBY”
INVESTIGACION “SOLUCION DE SISTEMAS DE ECUACIONES: METODO DE JACOBY”Anel Sosa
 
APLICACIONES DE LAS ECUACIONES DIFERENCIALES
APLICACIONES DE LAS ECUACIONES DIFERENCIALESAPLICACIONES DE LAS ECUACIONES DIFERENCIALES
APLICACIONES DE LAS ECUACIONES DIFERENCIALESAnel Sosa
 
SISTEMA OPERATIVOS
SISTEMA OPERATIVOSSISTEMA OPERATIVOS
SISTEMA OPERATIVOSAnel Sosa
 
INVESTIGACIÓN DE CHIPSET
INVESTIGACIÓN DE CHIPSET INVESTIGACIÓN DE CHIPSET
INVESTIGACIÓN DE CHIPSET Anel Sosa
 
Metodologia incremental
Metodologia incrementalMetodologia incremental
Metodologia incrementalAnel Sosa
 
Paradigmas de programacion
Paradigmas de programacion Paradigmas de programacion
Paradigmas de programacion Anel Sosa
 
Escenario socioeconomico
Escenario socioeconomicoEscenario socioeconomico
Escenario socioeconomicoAnel Sosa
 
Investigacion calculo derivadas e integrales
Investigacion calculo derivadas e integralesInvestigacion calculo derivadas e integrales
Investigacion calculo derivadas e integralesAnel Sosa
 
Lenguajes de simulacion
Lenguajes de simulacionLenguajes de simulacion
Lenguajes de simulacionAnel Sosa
 
maquinas de turing jflap
maquinas de turing jflapmaquinas de turing jflap
maquinas de turing jflapAnel Sosa
 
Panuco Veracruz
Panuco Veracruz Panuco Veracruz
Panuco Veracruz Anel Sosa
 
que es un Curriculum
que es un Curriculumque es un Curriculum
que es un CurriculumAnel Sosa
 
maquinas de turing
maquinas de turingmaquinas de turing
maquinas de turingAnel Sosa
 
automatas finitos
automatas finitos automatas finitos
automatas finitosAnel Sosa
 
Programa expresiones regulares
Programa expresiones regularesPrograma expresiones regulares
Programa expresiones regularesAnel Sosa
 
ESPRESIONES REGULARES
ESPRESIONES REGULARESESPRESIONES REGULARES
ESPRESIONES REGULARESAnel Sosa
 

Más de Anel Sosa (20)

Codigo Visual Studio: Galeria de imagenes
Codigo Visual Studio: Galeria de imagenesCodigo Visual Studio: Galeria de imagenes
Codigo Visual Studio: Galeria de imagenes
 
Comandos sql
Comandos sql Comandos sql
Comandos sql
 
Codigo ensamblador
Codigo ensamblador Codigo ensamblador
Codigo ensamblador
 
INVESTIGACION “SOLUCION DE SISTEMAS DE ECUACIONES: METODO DE JACOBY”
INVESTIGACION “SOLUCION DE SISTEMAS DE ECUACIONES: METODO DE JACOBY”INVESTIGACION “SOLUCION DE SISTEMAS DE ECUACIONES: METODO DE JACOBY”
INVESTIGACION “SOLUCION DE SISTEMAS DE ECUACIONES: METODO DE JACOBY”
 
APLICACIONES DE LAS ECUACIONES DIFERENCIALES
APLICACIONES DE LAS ECUACIONES DIFERENCIALESAPLICACIONES DE LAS ECUACIONES DIFERENCIALES
APLICACIONES DE LAS ECUACIONES DIFERENCIALES
 
SISTEMA OPERATIVOS
SISTEMA OPERATIVOSSISTEMA OPERATIVOS
SISTEMA OPERATIVOS
 
INVESTIGACIÓN DE CHIPSET
INVESTIGACIÓN DE CHIPSET INVESTIGACIÓN DE CHIPSET
INVESTIGACIÓN DE CHIPSET
 
SIMMAN 3G
SIMMAN 3GSIMMAN 3G
SIMMAN 3G
 
Metodologia incremental
Metodologia incrementalMetodologia incremental
Metodologia incremental
 
Paradigmas de programacion
Paradigmas de programacion Paradigmas de programacion
Paradigmas de programacion
 
Escenario socioeconomico
Escenario socioeconomicoEscenario socioeconomico
Escenario socioeconomico
 
Investigacion calculo derivadas e integrales
Investigacion calculo derivadas e integralesInvestigacion calculo derivadas e integrales
Investigacion calculo derivadas e integrales
 
Lenguajes de simulacion
Lenguajes de simulacionLenguajes de simulacion
Lenguajes de simulacion
 
maquinas de turing jflap
maquinas de turing jflapmaquinas de turing jflap
maquinas de turing jflap
 
Panuco Veracruz
Panuco Veracruz Panuco Veracruz
Panuco Veracruz
 
que es un Curriculum
que es un Curriculumque es un Curriculum
que es un Curriculum
 
maquinas de turing
maquinas de turingmaquinas de turing
maquinas de turing
 
automatas finitos
automatas finitos automatas finitos
automatas finitos
 
Programa expresiones regulares
Programa expresiones regularesPrograma expresiones regulares
Programa expresiones regulares
 
ESPRESIONES REGULARES
ESPRESIONES REGULARESESPRESIONES REGULARES
ESPRESIONES REGULARES
 

Último

183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdfEdwinAlexanderSnchez2
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAJAMESDIAZ55
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfyoseka196
 
Caldera Recuperadora de químicos en celulosa tipos y funcionamiento
Caldera Recuperadora de químicos en celulosa tipos y funcionamientoCaldera Recuperadora de químicos en celulosa tipos y funcionamiento
Caldera Recuperadora de químicos en celulosa tipos y funcionamientoRobertoAlejandroCast6
 
Reporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacaReporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacajeremiasnifla
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSaulSantiago25
 
Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...
Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...
Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...Francisco Javier Mora Serrano
 
ECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfmatepura
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaXjoseantonio01jossed
 
clases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfclases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfDanielaVelasquez553560
 
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...SuannNeyraChongShing
 
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)ssuser563c56
 
Manual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfManual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfedsonzav8
 
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASTEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASfranzEmersonMAMANIOC
 
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALCHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALKATHIAMILAGRITOSSANC
 
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfPresentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfMirthaFernandez12
 
estadisticasII Metodo-de-la-gran-M.pdf
estadisticasII Metodo-de-la-gran-M.pdfestadisticasII Metodo-de-la-gran-M.pdf
estadisticasII Metodo-de-la-gran-M.pdfFlorenciopeaortiz
 
Unidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxUnidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxEverardoRuiz8
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMarceloQuisbert6
 
Diapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuestaDiapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuestajeffsalazarpuente
 

Último (20)

183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdf
 
Caldera Recuperadora de químicos en celulosa tipos y funcionamiento
Caldera Recuperadora de químicos en celulosa tipos y funcionamientoCaldera Recuperadora de químicos en celulosa tipos y funcionamiento
Caldera Recuperadora de químicos en celulosa tipos y funcionamiento
 
Reporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacaReporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpaca
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusibles
 
Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...
Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...
Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...
 
ECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdf
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
 
clases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdfclases de dinamica ejercicios preuniversitarios.pdf
clases de dinamica ejercicios preuniversitarios.pdf
 
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
 
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
 
Manual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfManual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdf
 
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASTEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
 
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONALCHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
CHARLA DE INDUCCIÓN SEGURIDAD Y SALUD OCUPACIONAL
 
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfPresentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
 
estadisticasII Metodo-de-la-gran-M.pdf
estadisticasII Metodo-de-la-gran-M.pdfestadisticasII Metodo-de-la-gran-M.pdf
estadisticasII Metodo-de-la-gran-M.pdf
 
Unidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxUnidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptx
 
Magnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principiosMagnetismo y electromagnetismo principios
Magnetismo y electromagnetismo principios
 
Diapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuestaDiapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuesta
 

Seguridad en el ciclo de desarrollo del software

  • 1. INGENIERIA EN SISTEMAS COMPUTACIONALES INGENIERIA DE SOFTWARE Unidad IV: SEGURIDAD EN EL CICLO DE DESARROLLO DEL SOFTWARE ISC GI SANTANA ESPARZA S501 08-12-2016 HERNANDEZ MEDINA JOSUE SOSA MEJIA ANEL VERONICA VIZCAINO NUÑEZ JOSÉ ALFONSO Fecha de entrega:19/09/201
  • 2. SEGURIDAD EN EL CICLO DE DESARROLLO DEL SOFTWARE INTRODUCCION El ciclo de desarrollo de software consta de cinco fases que son análisis diseño, codificación, pruebas e implementación, en esta investigación a continuación se hablará sobre la importancia de la seguridad en cada una de las fases y que controles se pueden implementar. En el análisis se identifican los requerimientos, por eso se pueden identificar diversidad característica que derivaran en los requerimientos de seguridad en el software. Después sigue la etapa de diseño, en esta etapa se dice que es más propensa a tener vulnerabilidades en cuanto a seguridad, se mencionaran prácticas para un diseño seguro de la aplicación. Algunos desarrolladores implementan un el análisis de riesgos para obviamente tener un mejor resultado final en cuanto a calidad del software en este tema se mencionarán las etapas de esta. En la etapa de decodificación se va a mencionar unas buenas prácticas para decodificar seguramente, por último se verá la etapa de implementación es muy importante revisar que las configuraciones que se requieran sean realizadas, en este punto se deben contemplar tareas tales como: (cambio de usuario y contraseñas iniciales o por defecto, borrado de datos de pruebas, cambios de permisos de acceso entre otros).
  • 3. Fase de análisis En esta fase se identifican los requisitos funcionales que tendrán impacto en los aspectos de seguridad algunos de ellos son: Requisitos de conformidad Normativas locales e internacionales. Tipo de información que se manejara. Arquitectura en donde se montara la aplicacion(es). modo de autenticación (pass, biométrico, etc.). acceso a los datos (permisos por perfiles). Fase del diseño Antes de comenzar a escribir líneas de código, hay varios aspectos que se deben tener en cuenta durante esta fase, algunos de ellos son: Diseño de autorización (roles, permisos, privilegios en la aplicación) Diseño de mensajes de advertencia y errores para evitar suministrar mucha información e impedir futuros ataques. Mecanismo de protección de datos (acá se define el modo como se protegerá la información). Buenas prácticas para el desarrollo de una aplicación segura:  Reducción de superficie de ataque  Diseño seguro de mensajes de error  Diseño seguro de autentificación  Análisis de riesgo Método stride
  • 4. Este método ayuda a identificar amenazas en los componentes de un sistema su nombre es un acrónimo de Spoofing identity: Suplantarla identidad de otro usuario o servicio Tampering with data: Modificar maliciosamente datos almacenados. Repudiation: imposibilidad de identificar el autor de una acción Information disclosure: Divulgar información a usuarios no autorizados. Denial of Service: Provocar que un servicio deje de funcionar Elevation of privilege: conseguir privilegios mayores a los asignados Fase Decodificación En esta fase se codifican los diferentes componentes de la aplicación, y es donde suelen incluirse por error u omisión varias vulnerabilidades. estas vulnerabilidades las podemos clasificar en dos grupos: clásicas y funcionales. Clásicas: Son errores típicos como manejo de sesiones, desbordamiento de buffer, denegación de servicios, etc. Funcionales: Son aquellas que están ligadas a las funcionalidades de la aplicación, por ejemplo el mal cálculo del IVA en una factura de compra, una aplicación de banca electrónica que permita realizar transferencias de valores negativos. En esta etapa es fundamental revisar los valores de entradas y salidas, esto con el fin de evitar futuras fallos o inconsistencias en la información. Buenas prácticas para una codificación segura  Validar siempre los datos de entrada antes de procesarlos.  Nunca confiar en que los datos recibidos sean correctos  Realizar validación de datos en todas las validaciones
  • 5.  Usar siempre criterio “White list” en la  Controlar tamaño y tipo de datos  “sanitizar” los valores de entrada y salida  Eliminar o “escapear” caracteres especiales  Transformar los datos de entrada a un “encoding” establecido  Reemplazar sentencias SQL dinámicas por Stores Procedures  Evitar generar código con valores ingresados por el usuario  No mezclar datos con código  Capturar errores de capas inferiores y no mostrarlos al usuario Técnicas de testing de seguridad: testing de seguridad funcional Testing (clásico) aplicada seguridad de una aplicación ej.,  Requerimiento de autenticación  Requerimiento de complejidad de contraseñas  Bloqueo automático de cuentas  Funcionalidad de captchas Testing de seguridad basado en riesgo  Técnica que se desprende del treah modeling  Se identifican todas las interfaces de la aplicación  Se generan casos de test sobre cada interfaz basado en strid Revisión de código Permite encontrar vulnerabilidades que son muy difíciles de detectar con otros métodos de testing de seguridad  Enfoque tradicional: grupo de revisión
  • 6.  Enfoque rápido: revisión por pares Fase De Pruebas En esta etapa es fundamental revisar los valores de entradas y salidas, esto con el fin de evitar futuras fallos o inconsistencias en la información. Fase de Codificación En esta fase como su nombre lo Indica es donde se hace las pruebas de las funcionales que se espera que realice la aplicación, según los requerimientos del cliente. Normalmente en esta etapa hay un desfasaje entre el diseño original (lo que se espera que haga) y la implementación real (lo que realmente hace). aquí surgen 3 áreas bien definidas: Lo que fue definido y la aplicación hace. Lo que fue definido y la aplicación no hace(errores funcionales). Lo que no fue definido pero la aplicación hace. Es acá donde los testing de seguridad se basa principalmente en probar la aplicación con escenarios no planificados como son: (valores mutados, fuera del rango, tipos incorrectos, acciones fuera del orden, etc.). Existen herramientas que permiten la detección de errores pero se debe tener presente que para obtener los mejores resultados se deben combinar las técnicas tanto manuales como las automáticas Fase de Implementación En esta fase es la puesta en producción por ello es muy importante revisar que las configuraciones que se requieran sean realizadas, en este punto se deben contemplar tareas tales como: (cambio de usuario y contraseñas iniciales o por defecto, borrado de datos de pruebas, cambios de permisos de acceso entre otros.). También es muy importante mantener separados los ambientes de desarrollo,
  • 7. pruebas y producción y garantizar que el traspaso de un ambiente a otro no ocasione ningún tipo de problema Conclusión La seguridad, debe implementarse en todas las fases del ciclo de vida de desarrollo. Es importante que las organizaciones tengan en cuenta los analistas de seguridad para que participen activamente y sean auditores en todos las fases del ciclo de vida de desarrollo. Realizar estas actividades en todas las fases ayudara a reducir el número de vulnerabilidades en la aplicación, así como ahorra tiempo y dinero La gestión de seguridad no termina al entregar el sistema, Después de la entrega, el sistema debe instalarse de acuerdo a lo planificado, de tal forma que el análisis de contingencias siga valido. Después se lleva a cabo la validación de seguridad antes de que el sistema comience a usarse. Muchos de los problemas relacionados a la seguridad tienen lugar debido a un proceso de poco mantenimiento. Finalmente, también deberían tenerse en cuenta consideraciones de seguridad que podrían aplicarse durante el desmantelamiento del sistema. Este punto es muy importante especialmente si trata de un sistema bancario, de vuelos por mencionar algunos ya qué se guardan credenciales personales y se trabaja con dinero, hacer un sistema defectuoso en cuanto a la seguridad podría resultar en un fatal accidente para las personas que utilicen este, así como los ingenieros que desarrollen el sistema