SlideShare una empresa de Scribd logo

Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC

Internet Security Auditors
Internet Security Auditors

Internet Security Auditors estuvo presente en el Respuestas SIC de Junio de 2011. Vicente Aguilera, director de auditoría de Internet Security Auditors y presidente del capítulo español de la OWASP, realizó una presentación destacando los aspectos más importantes del desarrollo seguro de aplicaciones. También desgranó los contenidos más relevantes del marco de ciclo de vida de desarrollo seguro de aplicaciones esponsorizado por la OWASP, OWASP ASVS (Application Security Verification Standard).

Tecnología
1 de 36
Descargar para leer sin conexión
c. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 Pº. de la Castellana, 164-166. Entlo. 1ª I E-28046 Madrid (Spain) I Tel: +34 91 788 57 78 I Fax: +34 91 788 57 01 info@isecauditors.com I www.isecauditors.com Diseño de aplicaciones web siguiendo el concepto hack-resilient Vicente Aguilera Díaz 21/06/2011 – Barcelona Internet Security Auditors 22/06/2011 – Madrid
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 2 Diseño de aplicaciones web siguiendo el concepto hack-resilient Agenda 1. Concepto hack-resilient 2. La importancia de la seguridad en la capa de aplicación 3. Áreas clave en la seguridad de aplicaciones 4. Conclusiones y recomendaciones 5. Referencias
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 3 Diseño de aplicaciones web siguiendo el concepto hack-resilient 1│Concepto hack-resilient
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 4 Diseño de aplicaciones web siguiendo el concepto hack-resilient
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 5 Diseño de aplicaciones web siguiendo el concepto hack-resilient ¿Qué entendemos como software seguro?
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 6 Diseño de aplicaciones web siguiendo el concepto hack-resilient 2│La importancia de la seguridad en la capa de aplicación
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 7 Diseño de aplicaciones web siguiendo el concepto hack-resilient ¿Por qué ha cobrado tanta relevancia? • Proliferación de modelos de negocio en la web. • Las aplicaciones web resultan muy atractivas. • Según Gartner: • El 66% de las aplicaciones son vulnerables. • El 75% de los ataques se focalizan en la capa de aplicación. • Nuevos requerimientos normativos.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 8 Diseño de aplicaciones web siguiendo el concepto hack-resilient ¿Por qué ha cobrado tanta relevancia?
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 9 Diseño de aplicaciones web siguiendo el concepto hack-resilient Todo es posible en la Web…
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 10 Diseño de aplicaciones web siguiendo el concepto hack-resilient ¿Qué podemos hacer para protegernos? • Conocer las amenazas y las soluciones • Definir niveles de riesgo/confianza • Verificar los requerimientos de seguridad • Adoptar una iniciativa de seguridad en el ciclo de vida
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 11 Diseño de aplicaciones web siguiendo el concepto hack-resilient OWASP ASVS Application Security Verification Standard
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 12 Diseño de aplicaciones web siguiendo el concepto hack-resilient 3│Áreas clave en la seguridad de aplicaciones
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 13 Diseño de aplicaciones web siguiendo el concepto hack-resilient Áreas con requerimientos de seguridad 1 Arquitectura de seguridad 2 Autenticación 3 Gestión de sesiones 4 Control de acceso 5 Validación de entradas 6 Codificación de salida 7 Criptografía 8 Gestión de errores y logging 9 Protección de datos 10 Seguridad en la comunicación 11 Seguridad en HTTP 12 Configuración de seguridad 13 Búsqueda de código malicioso 14 Seguridad interna
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 14 Diseño de aplicaciones web siguiendo el concepto hack-resilient A1. Arquitectura de seguridad • Thinking Evil™ • Establecer un conjunto de principios y máximas de seguridad. • Contemplar los aspectos de seguridad en la documentación.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 15 Diseño de aplicaciones web siguiendo el concepto hack-resilient A2. Autenticación • Autenticación de múltiples factores. • Negar el acceso a procesos automáticos. • Utilizar controles anti-fraude y monitorizar las alertas. • Controles de autenticación centralizados. • No relajar los controles (operativas de gestión de cuentas). • Informar del último acceso.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 16 Diseño de aplicaciones web siguiendo el concepto hack-resilient A3. Gestión de sesiones • No reinventar la rueda. • No confiar en los identificadores de sesión recibidos. • Establecer un tiempo de vida (inactividad, absoluto). • Destruir las sesiones en la desconexión (logout). • Proteger y regenerar los identificadores de sesión. • Asociar los identificadores de sesión con otro token. • Utilizar atributos de seguridad en las cookies.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 17 Diseño de aplicaciones web siguiendo el concepto hack-resilient A4. Control de acceso • Recoger los requerimientos en la política de seguridad. • Elaborar una matriz de control de acceso. • Limitar el acceso a los recursos en función de la identidad del usuario y su rol. • Evitar que el mecanismo sea sobrepasado. • Restricciones sobre las operativas de administración.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 18 Diseño de aplicaciones web siguiendo el concepto hack-resilient A5. Validación de entradas • Sistema centralizado. • Canonicalización de forma previa a la validación. • En caso de fallo, rechazar los datos de entrada. • Establecer el charset (como UTF-8). • Validaciones de seguridad siempre en la parte del servidor. • Firewall de aplicación.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 19 Diseño de aplicaciones web siguiendo el concepto hack-resilient A6. Codificación de salida y escape • Conocer el contexto. • Los controles deben implementarse en la parte del servidor. • Escapar/codificar los caracteres inseguros.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 20 Diseño de aplicaciones web siguiendo el concepto hack-resilient A7. Criptografía • Política explícita de gestión de claves. • Utilizar módulos criptográficos aprobados y validados contra estándares (FIPS 140-2). • Almacenar contraseñas de forma segura.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 21 Diseño de aplicaciones web siguiendo el concepto hack-resilient A8. Gestión de errores y logging • Gestión de errores estructurada vs funcional. • Mensajes de error no detallados. • En caso de fallo, ir a un estado seguro. • Sincronizar los componentes de logging. • Los eventos relevantes deben ser registrados. • Proteger los logs. • Apoyarse en herramientas de auditoría de log para su análisis.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 22 Diseño de aplicaciones web siguiendo el concepto hack-resilient A9. Protección de datos • Establecer una política que defina como controlar el acceso. • Eliminar la información tras el tiempo de retención de datos. • Tecnologías de cifrado, tokenización, firewalls de base de datos. • Conocer las normativas de cumplimiento (PCI DSS, LOPD, PII, HIPAA, etc.)
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 23 Diseño de aplicaciones web siguiendo el concepto hack-resilient A10. Seguridad en la comunicación • Establecer conexiones TLS y no permitir conexiones inseguras. • Autenticar las conexiones a sistemas externos (principio de mínimo privilegio). • Los errores en las conexiones TLS (backend) deben ser registrados. • Seguir un estándar en las implementaciones TLS.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 24 Diseño de aplicaciones web siguiendo el concepto hack-resilient A11. Seguridad en HTTP • Analizar los usos de las cabeceras HTTP. • No transmitir información innecesaria. • No utilizar la cabecera HTTP «Referer» en validaciones de seguridad. • Únicamente habilitar métodos HTTP seguros. • Utilizar tokens asociados a las cookies de sesión.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 25 Diseño de aplicaciones web siguiendo el concepto hack-resilient A12. Configuración de seguridad • Almacenar en una ubicación protegida. • Sin el acceso a la configuración no permitir el acceso a la aplicación. • Registrar los cambios en la configuración.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 26 Diseño de aplicaciones web siguiendo el concepto hack-resilient A13. Búsqueda de código malicioso • Verificar la integridad del código. • Emplear tecnologías que permitan detectar malware.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 27 Diseño de aplicaciones web siguiendo el concepto hack-resilient A14. Seguridad interna • Interfaces simples. • Ofrecer protección sobre los recursos compartidos. • Proteger la información y políticas utilizadas por los controles de acceso.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 28 Diseño de aplicaciones web siguiendo el concepto hack-resilient 4│Conclusiones y recomendaciones
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 29 Diseño de aplicaciones web siguiendo el concepto hack-resilient Conclusiones • Necesitamos crear software seguro. • Aplicación segura ≠ código seguro. • Debemos conocer todos los riesgos y cómo mitigarlos. • Incrementar la inversión en la protección de la capa de aplicación.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 30 Diseño de aplicaciones web siguiendo el concepto hack-resilient Recomendaciones • Clasificar las aplicaciones y definir requerimientos mínimos de seguridad. • Verificar el cumplimiento de los requerimientos de seguridad. • Crear el software pensado en los casos de abuso. • Huir de la solución «todo en uno». • Seguir el principio de defensa en profundidad.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 31 Diseño de aplicaciones web siguiendo el concepto hack-resilient Recomendaciones • Identificar los marcos regulatorios. Ayudar a su cumplimiento. • Otorgar a los requerimientos de seguridad la misma prioridad que a los requerimientos funcionales. • Mantenerse informado sobre las amenazas existentes. • Consultar las soluciones tecnológicas sin menospreciar las open-source. • Potenciar la cultura de la seguridad en la organización.
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 32 Diseño de aplicaciones web siguiendo el concepto hack-resilient 5│Referencias
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 33 Diseño de aplicaciones web siguiendo el concepto hack-resilient Referencias • Improving Web Application Security: • Business Models on the Web: • OWASP Application Security Verification Standard: https://www.owasp.org/index.php/Category:OWASP_Application_S ecurity_Verification_Standard_Project http://msdn.microsoft.com/en-us/library/ff649874.aspx http://digitalenterprise.org/models/models.html • PCI Data Security Standard https://www.pcisecuritystandards.org
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 34 Diseño de aplicaciones web siguiendo el concepto hack-resilient Referencias • Controles técnicos de seguridad para la protección de aplicaciones web (SIC, nº 94. 04/2011): http://www.isecauditors.com/downloads/prensa/downloads/prensa/ SIC94_Seguridad_Aplicaciones_OWASP.pdf • Servicio Vigilancia Anti-Malware (SIC, nº 83. 02/2009) http://www.isecauditors.com/downloads/prensa/SIC- 83_Servicio_Vigilancia_Anti_Malware.pdf • Fundamentos de tokenización y su aplicación en el cumplimiento de PCI DSS (Red Seguridad, nº 49. 11/10) http://www.isecauditors.com/downloads/prensa/RedSeguridad_49_ Tokenizacion.pdf
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 35 Diseño de aplicaciones web siguiendo el concepto hack-resilient ? dudas / comentarios / sugerencias ¡Muchas gracias!
© I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 36 Diseño de aplicaciones web siguiendo el concepto hack-resilient Su Seguridad es Nuestro Éxito Vicente Aguilera Díaz Director Departamento Auditoría Internet Security Auditors vaguilera@isecauditors.com c/ Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 Pº. de la Castellana, 164-166. Entlo. 1ª E-28046 Madrid (Spain) Tel.: +34 91 788 57 78 Fax: +34 91 788 57 01 www.isecauditors.com

Recomendados

Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Trustwave spider labs_2012_
Trustwave spider labs_2012_Trustwave spider labs_2012_
Trustwave spider labs_2012_JulianArgudo
 
Detectar Amenazas Avanzadas
Detectar Amenazas AvanzadasDetectar Amenazas Avanzadas
Detectar Amenazas AvanzadasIBM Digital Sales Colombia
 
4.1 Protección y seguridad
4.1 Protección y seguridad4.1 Protección y seguridad
4.1 Protección y seguridadDavid Narváez
 
Soc en el mundo
Soc en el mundoSoc en el mundo
Soc en el mundoUniversidad Cenfotec
 
1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes segurasDavid Narváez
 
Los sistemas informáticos de tu empresa al descubierto
Los sistemas informáticos de tu empresa al descubiertoLos sistemas informáticos de tu empresa al descubierto
Los sistemas informáticos de tu empresa al descubiertoEduardo Arriols Nuñez
 
Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Peter Concha
 

Recomendados

Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Trustwave spider labs_2012_
Trustwave spider labs_2012_Trustwave spider labs_2012_
Trustwave spider labs_2012_JulianArgudo
 
Detectar Amenazas Avanzadas
Detectar Amenazas AvanzadasDetectar Amenazas Avanzadas
Detectar Amenazas AvanzadasIBM Digital Sales Colombia
 
4.1 Protección y seguridad
4.1 Protección y seguridad4.1 Protección y seguridad
4.1 Protección y seguridadDavid Narváez
 
Soc en el mundo
Soc en el mundoSoc en el mundo
Soc en el mundoUniversidad Cenfotec
 
1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes seguras1.2. Fundamentos seguridad Redes seguras
1.2. Fundamentos seguridad Redes segurasDavid Narváez
 
Los sistemas informáticos de tu empresa al descubierto
Los sistemas informáticos de tu empresa al descubiertoLos sistemas informáticos de tu empresa al descubierto
Los sistemas informáticos de tu empresa al descubiertoEduardo Arriols Nuñez
 
Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Peter Concha
 
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?Yolanda Corral
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
 
S1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosS1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosLuis Fernando Aguas Bucheli
 
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...RootedCON
 
S2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadS2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadLuis Fernando Aguas Bucheli
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. EstándaresLuis Fernando Aguas Bucheli
 
Inteligencia en Seguridad
Inteligencia en Seguridad Inteligencia en Seguridad
Inteligencia en Seguridad Xelere
 
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroGestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroXelere
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
 
Optimiti Ciberseguridad
Optimiti CiberseguridadOptimiti Ciberseguridad
Optimiti CiberseguridadPMI Capítulo México
 
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTGestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTDaniel Sasia
 
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra AmenazasBe Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra AmenazasSymantec LATAM
 
Luiz Dos Santos
Luiz Dos SantosLuiz Dos Santos
Luiz Dos Santossuperbancosec
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCristian Garcia G.
 
Equipos de respuesta a incidentes seguridad informática
Equipos de respuesta a incidentes seguridad informáticaEquipos de respuesta a incidentes seguridad informática
Equipos de respuesta a incidentes seguridad informáticaYolanda Corral
 
Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]RootedCON
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 
Redes Sociales y Turismo 2.0 - Doris Casares
Redes Sociales y Turismo 2.0 - Doris CasaresRedes Sociales y Turismo 2.0 - Doris Casares
Redes Sociales y Turismo 2.0 - Doris CasaresTravel Inspirers
 
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hacking
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hackingCORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hacking
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hackingEduardo Chavarro
 

Más contenido relacionado

La actualidad más candente

La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
 
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...RootedCON
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Websec México, S.C.
 
Inteligencia en Seguridad
Inteligencia en Seguridad Inteligencia en Seguridad
Inteligencia en Seguridad Xelere
 
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroGestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroXelere
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónWebsec México, S.C.
 
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTGestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTDaniel Sasia
 
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra AmenazasBe Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra AmenazasSymantec LATAM
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroCristian Garcia G.
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCristian Garcia G.
 
Equipos de respuesta a incidentes seguridad informática
Equipos de respuesta a incidentes seguridad informáticaEquipos de respuesta a incidentes seguridad informática
Equipos de respuesta a incidentes seguridad informáticaYolanda Corral
 
Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]RootedCON
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 

La actualidad más candente (20)

La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
 
S1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos BásicosS1-AI-1.1. Conceptos Básicos
S1-AI-1.1. Conceptos Básicos
 
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...
Jose Angel Alvarez & Guillermo Obispo & Miguel Ángel Rodríguez - Zarancón Cit...
 
S2-AI-1.2. Cyberseguridad
S2-AI-1.2. CyberseguridadS2-AI-1.2. Cyberseguridad
S2-AI-1.2. Cyberseguridad
 
Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]Ciberseguridad durante la pandemia [Paulino Calderon]
Ciberseguridad durante la pandemia [Paulino Calderon]
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. Estándares
 
Inteligencia en Seguridad
Inteligencia en Seguridad Inteligencia en Seguridad
Inteligencia en Seguridad
 
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetroGestión de Seguridad de dispositivos, asegurando el nuevo perímetro
Gestión de Seguridad de dispositivos, asegurando el nuevo perímetro
 
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino CalderónCPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
CPMX5 - (IN)seguridad en infraestructura tecnológica por Paulino Calderón
 
Optimiti Ciberseguridad
Optimiti CiberseguridadOptimiti Ciberseguridad
Optimiti Ciberseguridad
 
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTGestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRT
 
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra AmenazasBe Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
Be Aware Webinar - El Beneficio de Utilizar Inteligencia Contra Amenazas
 
Luiz Dos Santos
Luiz Dos SantosLuiz Dos Santos
Luiz Dos Santos
 
Analisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo RiveroAnalisis y diagnostico consultivo Eduardo Rivero
Analisis y diagnostico consultivo Eduardo Rivero
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
 
Equipos de respuesta a incidentes seguridad informática
Equipos de respuesta a incidentes seguridad informáticaEquipos de respuesta a incidentes seguridad informática
Equipos de respuesta a incidentes seguridad informática
 
Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]Marta López - Vacaciones en la costa del SOC [rooted2019]
Marta López - Vacaciones en la costa del SOC [rooted2019]
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
 

Destacado

Redes Sociales y Turismo 2.0 - Doris Casares
Redes Sociales y Turismo 2.0 - Doris CasaresRedes Sociales y Turismo 2.0 - Doris Casares
Redes Sociales y Turismo 2.0 - Doris CasaresTravel Inspirers
 
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hacking
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hackingCORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hacking
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hackingEduardo Chavarro
 
Empresas de turismo y comunicación viajera - Teresa Villacé
Empresas de turismo y comunicación viajera - Teresa VillacéEmpresas de turismo y comunicación viajera - Teresa Villacé
Empresas de turismo y comunicación viajera - Teresa VillacéTravel Inspirers
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 

Destacado (7)

Redes Sociales y Turismo 2.0 - Doris Casares
Redes Sociales y Turismo 2.0 - Doris CasaresRedes Sociales y Turismo 2.0 - Doris Casares
Redes Sociales y Turismo 2.0 - Doris Casares
 
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hacking
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hackingCORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hacking
CORHUILA - Taller al descubierto: Georef WiFi, Bluetooth hacking
 
Empresas de turismo y comunicación viajera - Teresa Villacé
Empresas de turismo y comunicación viajera - Teresa VillacéEmpresas de turismo y comunicación viajera - Teresa Villacé
Empresas de turismo y comunicación viajera - Teresa Villacé
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 

Similar a Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC

Desarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMDesarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMInternet Security Auditors
 
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebOwasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebInternet Security Auditors
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITViewnext
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Arduino Software - Servicios de Seguridad Informática
Arduino Software - Servicios de Seguridad InformáticaArduino Software - Servicios de Seguridad Informática
Arduino Software - Servicios de Seguridad InformáticaGerman Arduino
 
Construyendo arquitecturas zero trust sobre entornos cloud
Construyendo arquitecturas zero trust sobre entornos cloud Construyendo arquitecturas zero trust sobre entornos cloud
Construyendo arquitecturas zero trust sobre entornos cloud Jose Manuel Ortega Candel
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Desafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad IndustrialDesafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad IndustrialMariano M. del Río
 
Plantilla-2020-INCP-Moore_Seguridad-de-la-información.pptx
Plantilla-2020-INCP-Moore_Seguridad-de-la-información.pptxPlantilla-2020-INCP-Moore_Seguridad-de-la-información.pptx
Plantilla-2020-INCP-Moore_Seguridad-de-la-información.pptxInversionesEB
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetMailjet
 
Seguridad de información para criptoactivos
Seguridad de información para criptoactivosSeguridad de información para criptoactivos
Seguridad de información para criptoactivosEudy Zerpa
 
Politicas de seguridad y privacidad
Politicas de seguridad y privacidadPoliticas de seguridad y privacidad
Politicas de seguridad y privacidadKaria
 
Sesion cinco
Sesion cincoSesion cinco
Sesion cincoblanka
 

Similar a Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC (20)

10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP 10 Principales Controles Proactivos de OWASP
10 Principales Controles Proactivos de OWASP
 
Desarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMDesarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMM
 
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones WebOwasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
Owasp top 10 2010: Riesgos de seguridad en las Aplicaciones Web
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad IT
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
Arduino Software - Servicios de Seguridad Informática
Arduino Software - Servicios de Seguridad InformáticaArduino Software - Servicios de Seguridad Informática
Arduino Software - Servicios de Seguridad Informática
 
Construyendo arquitecturas zero trust sobre entornos cloud
Construyendo arquitecturas zero trust sobre entornos cloud Construyendo arquitecturas zero trust sobre entornos cloud
Construyendo arquitecturas zero trust sobre entornos cloud
 
Seguridad Global
Seguridad GlobalSeguridad Global
Seguridad Global
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
 
Seguridad clase-2
Seguridad clase-2Seguridad clase-2
Seguridad clase-2
 
Desafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad IndustrialDesafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad Industrial
 
Plantilla-2020-INCP-Moore_Seguridad-de-la-información.pptx
Plantilla-2020-INCP-Moore_Seguridad-de-la-información.pptxPlantilla-2020-INCP-Moore_Seguridad-de-la-información.pptx
Plantilla-2020-INCP-Moore_Seguridad-de-la-información.pptx
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en Mailjet
 
Seguridad de información para criptoactivos
Seguridad de información para criptoactivosSeguridad de información para criptoactivos
Seguridad de información para criptoactivos
 
Politicas de seguridad y privacidad
Politicas de seguridad y privacidadPoliticas de seguridad y privacidad
Politicas de seguridad y privacidad
 
Sesion cinco
Sesion cincoSesion cinco
Sesion cinco
 

Más de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 

Más de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
 

Último

ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 

Último (20)

ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 

Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC

  • 1. c. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 Pº. de la Castellana, 164-166. Entlo. 1ª I E-28046 Madrid (Spain) I Tel: +34 91 788 57 78 I Fax: +34 91 788 57 01 info@isecauditors.com I www.isecauditors.com Diseño de aplicaciones web siguiendo el concepto hack-resilient Vicente Aguilera Díaz 21/06/2011 – Barcelona Internet Security Auditors 22/06/2011 – Madrid
  • 2. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 2 Diseño de aplicaciones web siguiendo el concepto hack-resilient Agenda 1. Concepto hack-resilient 2. La importancia de la seguridad en la capa de aplicación 3. Áreas clave en la seguridad de aplicaciones 4. Conclusiones y recomendaciones 5. Referencias
  • 3. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 3 Diseño de aplicaciones web siguiendo el concepto hack-resilient 1│Concepto hack-resilient
  • 4. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 4 Diseño de aplicaciones web siguiendo el concepto hack-resilient
  • 5. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 5 Diseño de aplicaciones web siguiendo el concepto hack-resilient ¿Qué entendemos como software seguro?
  • 6. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 6 Diseño de aplicaciones web siguiendo el concepto hack-resilient 2│La importancia de la seguridad en la capa de aplicación
  • 7. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 7 Diseño de aplicaciones web siguiendo el concepto hack-resilient ¿Por qué ha cobrado tanta relevancia? • Proliferación de modelos de negocio en la web. • Las aplicaciones web resultan muy atractivas. • Según Gartner: • El 66% de las aplicaciones son vulnerables. • El 75% de los ataques se focalizan en la capa de aplicación. • Nuevos requerimientos normativos.
  • 8. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 8 Diseño de aplicaciones web siguiendo el concepto hack-resilient ¿Por qué ha cobrado tanta relevancia?
  • 9. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 9 Diseño de aplicaciones web siguiendo el concepto hack-resilient Todo es posible en la Web…
  • 10. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 10 Diseño de aplicaciones web siguiendo el concepto hack-resilient ¿Qué podemos hacer para protegernos? • Conocer las amenazas y las soluciones • Definir niveles de riesgo/confianza • Verificar los requerimientos de seguridad • Adoptar una iniciativa de seguridad en el ciclo de vida
  • 11. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 11 Diseño de aplicaciones web siguiendo el concepto hack-resilient OWASP ASVS Application Security Verification Standard
  • 12. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 12 Diseño de aplicaciones web siguiendo el concepto hack-resilient 3│Áreas clave en la seguridad de aplicaciones
  • 13. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 13 Diseño de aplicaciones web siguiendo el concepto hack-resilient Áreas con requerimientos de seguridad 1 Arquitectura de seguridad 2 Autenticación 3 Gestión de sesiones 4 Control de acceso 5 Validación de entradas 6 Codificación de salida 7 Criptografía 8 Gestión de errores y logging 9 Protección de datos 10 Seguridad en la comunicación 11 Seguridad en HTTP 12 Configuración de seguridad 13 Búsqueda de código malicioso 14 Seguridad interna
  • 14. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 14 Diseño de aplicaciones web siguiendo el concepto hack-resilient A1. Arquitectura de seguridad • Thinking Evil™ • Establecer un conjunto de principios y máximas de seguridad. • Contemplar los aspectos de seguridad en la documentación.
  • 15. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 15 Diseño de aplicaciones web siguiendo el concepto hack-resilient A2. Autenticación • Autenticación de múltiples factores. • Negar el acceso a procesos automáticos. • Utilizar controles anti-fraude y monitorizar las alertas. • Controles de autenticación centralizados. • No relajar los controles (operativas de gestión de cuentas). • Informar del último acceso.
  • 16. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 16 Diseño de aplicaciones web siguiendo el concepto hack-resilient A3. Gestión de sesiones • No reinventar la rueda. • No confiar en los identificadores de sesión recibidos. • Establecer un tiempo de vida (inactividad, absoluto). • Destruir las sesiones en la desconexión (logout). • Proteger y regenerar los identificadores de sesión. • Asociar los identificadores de sesión con otro token. • Utilizar atributos de seguridad en las cookies.
  • 17. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 17 Diseño de aplicaciones web siguiendo el concepto hack-resilient A4. Control de acceso • Recoger los requerimientos en la política de seguridad. • Elaborar una matriz de control de acceso. • Limitar el acceso a los recursos en función de la identidad del usuario y su rol. • Evitar que el mecanismo sea sobrepasado. • Restricciones sobre las operativas de administración.
  • 18. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 18 Diseño de aplicaciones web siguiendo el concepto hack-resilient A5. Validación de entradas • Sistema centralizado. • Canonicalización de forma previa a la validación. • En caso de fallo, rechazar los datos de entrada. • Establecer el charset (como UTF-8). • Validaciones de seguridad siempre en la parte del servidor. • Firewall de aplicación.
  • 19. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 19 Diseño de aplicaciones web siguiendo el concepto hack-resilient A6. Codificación de salida y escape • Conocer el contexto. • Los controles deben implementarse en la parte del servidor. • Escapar/codificar los caracteres inseguros.
  • 20. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 20 Diseño de aplicaciones web siguiendo el concepto hack-resilient A7. Criptografía • Política explícita de gestión de claves. • Utilizar módulos criptográficos aprobados y validados contra estándares (FIPS 140-2). • Almacenar contraseñas de forma segura.
  • 21. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 21 Diseño de aplicaciones web siguiendo el concepto hack-resilient A8. Gestión de errores y logging • Gestión de errores estructurada vs funcional. • Mensajes de error no detallados. • En caso de fallo, ir a un estado seguro. • Sincronizar los componentes de logging. • Los eventos relevantes deben ser registrados. • Proteger los logs. • Apoyarse en herramientas de auditoría de log para su análisis.
  • 22. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 22 Diseño de aplicaciones web siguiendo el concepto hack-resilient A9. Protección de datos • Establecer una política que defina como controlar el acceso. • Eliminar la información tras el tiempo de retención de datos. • Tecnologías de cifrado, tokenización, firewalls de base de datos. • Conocer las normativas de cumplimiento (PCI DSS, LOPD, PII, HIPAA, etc.)
  • 23. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 23 Diseño de aplicaciones web siguiendo el concepto hack-resilient A10. Seguridad en la comunicación • Establecer conexiones TLS y no permitir conexiones inseguras. • Autenticar las conexiones a sistemas externos (principio de mínimo privilegio). • Los errores en las conexiones TLS (backend) deben ser registrados. • Seguir un estándar en las implementaciones TLS.
  • 24. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 24 Diseño de aplicaciones web siguiendo el concepto hack-resilient A11. Seguridad en HTTP • Analizar los usos de las cabeceras HTTP. • No transmitir información innecesaria. • No utilizar la cabecera HTTP «Referer» en validaciones de seguridad. • Únicamente habilitar métodos HTTP seguros. • Utilizar tokens asociados a las cookies de sesión.
  • 25. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 25 Diseño de aplicaciones web siguiendo el concepto hack-resilient A12. Configuración de seguridad • Almacenar en una ubicación protegida. • Sin el acceso a la configuración no permitir el acceso a la aplicación. • Registrar los cambios en la configuración.
  • 26. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 26 Diseño de aplicaciones web siguiendo el concepto hack-resilient A13. Búsqueda de código malicioso • Verificar la integridad del código. • Emplear tecnologías que permitan detectar malware.
  • 27. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 27 Diseño de aplicaciones web siguiendo el concepto hack-resilient A14. Seguridad interna • Interfaces simples. • Ofrecer protección sobre los recursos compartidos. • Proteger la información y políticas utilizadas por los controles de acceso.
  • 28. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 28 Diseño de aplicaciones web siguiendo el concepto hack-resilient 4│Conclusiones y recomendaciones
  • 29. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 29 Diseño de aplicaciones web siguiendo el concepto hack-resilient Conclusiones • Necesitamos crear software seguro. • Aplicación segura ≠ código seguro. • Debemos conocer todos los riesgos y cómo mitigarlos. • Incrementar la inversión en la protección de la capa de aplicación.
  • 30. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 30 Diseño de aplicaciones web siguiendo el concepto hack-resilient Recomendaciones • Clasificar las aplicaciones y definir requerimientos mínimos de seguridad. • Verificar el cumplimiento de los requerimientos de seguridad. • Crear el software pensado en los casos de abuso. • Huir de la solución «todo en uno». • Seguir el principio de defensa en profundidad.
  • 31. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 31 Diseño de aplicaciones web siguiendo el concepto hack-resilient Recomendaciones • Identificar los marcos regulatorios. Ayudar a su cumplimiento. • Otorgar a los requerimientos de seguridad la misma prioridad que a los requerimientos funcionales. • Mantenerse informado sobre las amenazas existentes. • Consultar las soluciones tecnológicas sin menospreciar las open-source. • Potenciar la cultura de la seguridad en la organización.
  • 32. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 32 Diseño de aplicaciones web siguiendo el concepto hack-resilient 5│Referencias
  • 33. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 33 Diseño de aplicaciones web siguiendo el concepto hack-resilient Referencias • Improving Web Application Security: • Business Models on the Web: • OWASP Application Security Verification Standard: https://www.owasp.org/index.php/Category:OWASP_Application_S ecurity_Verification_Standard_Project http://msdn.microsoft.com/en-us/library/ff649874.aspx http://digitalenterprise.org/models/models.html • PCI Data Security Standard https://www.pcisecuritystandards.org
  • 34. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 34 Diseño de aplicaciones web siguiendo el concepto hack-resilient Referencias • Controles técnicos de seguridad para la protección de aplicaciones web (SIC, nº 94. 04/2011): http://www.isecauditors.com/downloads/prensa/downloads/prensa/ SIC94_Seguridad_Aplicaciones_OWASP.pdf • Servicio Vigilancia Anti-Malware (SIC, nº 83. 02/2009) http://www.isecauditors.com/downloads/prensa/SIC- 83_Servicio_Vigilancia_Anti_Malware.pdf • Fundamentos de tokenización y su aplicación en el cumplimiento de PCI DSS (Red Seguridad, nº 49. 11/10) http://www.isecauditors.com/downloads/prensa/RedSeguridad_49_ Tokenizacion.pdf
  • 35. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 35 Diseño de aplicaciones web siguiendo el concepto hack-resilient ? dudas / comentarios / sugerencias ¡Muchas gracias!
  • 36. © I n t e r n e t S e c u r i t y A u d i t o r s • J u n i o 2 0 1 1 • P. 36 Diseño de aplicaciones web siguiendo el concepto hack-resilient Su Seguridad es Nuestro Éxito Vicente Aguilera Díaz Director Departamento Auditoría Internet Security Auditors vaguilera@isecauditors.com c/ Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48 Pº. de la Castellana, 164-166. Entlo. 1ª E-28046 Madrid (Spain) Tel.: +34 91 788 57 78 Fax: +34 91 788 57 01 www.isecauditors.com