SlideShare una empresa de Scribd logo

Conversatorio Ciberseguridad - Ingeniería de software seguro

I
Ignacio Trejos Zelaya

Conversatorio sobre Ciberseguridad: Ingeniería de Software seguro ISACA Costa Rica 2015

Software
1 de 41
Descargar para leer sin conexión
 Copyright Cenfotec S.A. 2000..2015 Conversatorio Ciberseguridad, el lado luminoso, oscuro, unificado y vivo: Ingeniería de software seguro Octavo Congreso ISACA 2015 Ciberseguridad: Más allá del riesgo, control y cumplimiento Ignacio Trejos Zelaya Universidad Cenfotec y Cenfotec + TEC ISACA Costa Rica
 Copyright Cenfotec S.A. 2000..2015 Temas • Ingeniería del software • Seguridad • Desarrollo de software seguro • Algunas técnicas • Puesta en marcha • Educación
 Copyright Cenfotec S.A. 2000..2015 Seis (sub-)disciplinas informáticas CC SI IC IS TI IT
 Copyright Cenfotec S.A. 2000..2015 1 2 345678 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 CE max 1 2345678 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 CS max 1 2345678 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 IS max 1 2345678 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 IT 1 2345678 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 SE
 Copyright Cenfotec S.A. 2000..2015 Ingeniería del software Aspectos Organizacionales y Sistemas de Información Tecnologías de aplicación Métodos de Software y tecnologías Infraestructura de sistemas Hardware de computadoras y arquitectura Teorías Principios Innovación Aplicación Implantación Configuración
 Copyright Cenfotec S.A. 2000..2015 ¿Ingeniería del software? • La ingeniería del software se ocupa de las teorías, métodos y herramientas para el desarrollo profesional de software: – comprende todos los aspectos de la producción de software – se ocupa de los problemas prácticos de desarrollar e implantar software útil • Los ingenieros del software adoptan un enfoque sistemático y organizado para realizar su trabajo y utilizan técnicas y herramientas apropiadas, dependiendo del problema por resolver, las restricciones del desarrollo y los recursos disponibles. Sommerville
 Copyright Cenfotec S.A. 2000..2015 Finkelstein y Kramer, 2000 • “la rama de la Ingeniería de sistemas que trata del desarrollo de grandes y complejos sistemas intensivos en software. Se enfoca en: – las metas del mundo real de tales sistemas, así como los servicios que estos proveen y las restricciones sobre ellos – la especificación precisa del comportamiento y la estructura de los sistemas, y la implementación de estas especificaciones – las actividades requeridas a fin de desarrollar un aseguramiento de que se han satisfecho las especificaciones y las metas del mundo real – la evolución de tales sistemas en el tiempo y a través de familias de sistemas – los procesos, métodos y herramientas para el desarrollo de sistemas intensivos en software de una manera económica y oportuna.”
 Copyright Cenfotec S.A. 2000..2015 Seguridad, en español • En inglés se distingue entre security y safety. Ambas palabras se traducen a seguridad en castellano. Sus connotaciones son distintas: – Security: protección contra el peligro que se origina “desde afuera” con la intención de provocar algún daño (a personas, propiedades, ambiente, etc.) – Safety: protegerse de los daños que son consecuencia de errores, fallas, accidentes, equivocaciones u otros sucesos que carecen de una provocación intencional
 Copyright Cenfotec S.A. 2000..2015 Seguridad (safety) vs seguridad (security)
 Copyright Cenfotec S.A. 2000..2015 Privacidad versus seguridad
 Copyright Cenfotec S.A. 2000..2015 Seguridad • Dependencia de la tecnología • Vulnerabilidades y deficiencias técnicas • Los malos están tratando de hacer daño • Talones de Aquiles: ignorancia e infundada confianza • Prevenir es mejor que curar
 Copyright Cenfotec S.A. 2000..2015 Seguridad de la información • confidencialidad: “asegurar que la información es accesible solamente a aquellos que tienen acceso autorizado”. Las técnicas criptológicas ayudan a implementar este tipo de protección. • integridad: los datos se mantienen inalterados al transmitirse, almacenarse y recuperarse. Solo pueden ser alterados por aquellos autorizados expresamente. • disponibilidad: el grado en que un sistema está en condiciones de dar servicio, cuando éste se requiere en un momento arbitrario.
 Copyright Cenfotec S.A. 2000..2015 NIST: Riesgos informáticos
 Copyright Cenfotec S.A. 2000..2015 FoundStone: abordaje integral
 Copyright Cenfotec S.A. 2000..2015 Capers Jones: defectos
 Copyright Cenfotec S.A. 2000..2015 Integración temprana de la seguridad
 Copyright Cenfotec S.A. 2000..2015 Puntos de contacto, McGraw
 Copyright Cenfotec S.A. 2000..2015 Microsoft, temprano
 Copyright Cenfotec S.A. 2000..2015 Microsoft, 2005
 Copyright Cenfotec S.A. 2000..2015 Microsoft, 2012
 Copyright Cenfotec S.A. 2000..2015 Infosec S-SDLC
 Copyright Cenfotec S.A. 2000..2015 McGraw, 2006
 Copyright Cenfotec S.A. 2000..2015 McGraw, mapeos (2006)
 Copyright Cenfotec S.A. 2000..2015 FoundStone: consideraciones proceso
 Copyright Cenfotec S.A. 2000..2015 Reducir defectos
 Copyright Cenfotec S.A. 2000..2015 Casos de uso malintencionado
 Copyright Cenfotec S.A. 2000..2015 Requerimientos de seguridad (safety)
 Copyright Cenfotec S.A. 2000..2015 Casos de abuso informáticos
 Copyright Cenfotec S.A. 2000..2015
 Copyright Cenfotec S.A. 2000..2015 Árboles de ataque
 Copyright Cenfotec S.A. 2000..2015 Praxis Sytems
 Copyright Cenfotec S.A. 2000..2015 Seguridad en desarrollo ágil
 Copyright Cenfotec S.A. 2000..2015 Narrativas de usuario genéricas
 Copyright Cenfotec S.A. 2000..2015 (ISC)2: buenas prácticas
 Copyright Cenfotec S.A. 2000..2015 Herramientas para análisis
 Copyright Cenfotec S.A. 2000..2015 McGraw, Puesta en marcha (2006)
 Copyright Cenfotec S.A. 2000..2015 McGraw, Puesta en marcha (2006)
 Copyright Cenfotec S.A. 2000..2015 Educar
 Copyright Cenfotec S.A. 2000..2015 SEI CERT currículum
 Copyright Cenfotec S.A. 2000..2015 ACM & IEEE: Ingeniería del software
 Copyright Cenfotec S.A. 2000..2015 SEEK 2014: nueva área de conocimiento

Recomendados

Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras Universidad Cenfotec
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxItconic
 
Respuesta ante un ciberataque. Caso Universidad de Castilla-La Mancha
Respuesta ante un ciberataque. Caso Universidad de Castilla-La ManchaRespuesta ante un ciberataque. Caso Universidad de Castilla-La Mancha
Respuesta ante un ciberataque. Caso Universidad de Castilla-La ManchaAndres Prado
 
Asegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadAsegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadChema Alonso
 
Ivan Arce
Ivan ArceIvan Arce
Ivan ArceClusterCba
 
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Pilar Santamaria
 
Introduccion
IntroduccionIntroduccion
IntroduccionOrestes Febles
 

Recomendados

Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras Universidad Cenfotec
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxItconic
 
Respuesta ante un ciberataque. Caso Universidad de Castilla-La Mancha
Respuesta ante un ciberataque. Caso Universidad de Castilla-La ManchaRespuesta ante un ciberataque. Caso Universidad de Castilla-La Mancha
Respuesta ante un ciberataque. Caso Universidad de Castilla-La ManchaAndres Prado
 
Asegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadAsegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadChema Alonso
 
Ivan Arce
Ivan ArceIvan Arce
Ivan ArceClusterCba
 
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Pilar Santamaria
 
Introduccion
IntroduccionIntroduccion
IntroduccionOrestes Febles
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaMiguel A. Amutio
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TICEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TICMiguelAmutio1
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Introduccion a las TIC.pptx
Introduccion a las TIC.pptxIntroduccion a las TIC.pptx
Introduccion a las TIC.pptxAlbertChvezZaquinaul
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisicaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdfCloeCornejo
 
Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...
Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...
Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...Colegio Oficial y Asociación Española de Ingenieros de Telecomunicación
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ipJose Alberto Medina Vega
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 
Seguridad de los sistemas operativos
Seguridad de los sistemas operativos Seguridad de los sistemas operativos
Seguridad de los sistemas operativos ninicoro
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4rayudi
 
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANCurso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANJack Daniel Cáceres Meza
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaJosé Tomás Diarte Añazco
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASJuan407916
 
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]RootedCON
 
Futuro sistema
Futuro sistemaFuturo sistema
Futuro sistemaMary Mayancela
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)Benjamin Tapia
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasMiguel A. Amutio
 
Unidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacionUnidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacionarmando_cardenas
 
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLOPARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLOSelenaCoronadoHuaman
 

Más contenido relacionado

Similar a Conversatorio Ciberseguridad - Ingeniería de software seguro

El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaMiguel A. Amutio
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TICEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TICMiguelAmutio1
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdfCloeCornejo
 
Seguridad de los sistemas operativos
Seguridad de los sistemas operativos Seguridad de los sistemas operativos
Seguridad de los sistemas operativos ninicoro
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4rayudi
 
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANCurso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANJack Daniel Cáceres Meza
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Eduardo Arriols Nuñez
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASJuan407916
 
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]RootedCON
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)Benjamin Tapia
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasMiguel A. Amutio
 

Similar a Conversatorio Ciberseguridad - Ingeniería de software seguro (20)

El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TICEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 
Introduccion a las TIC.pptx
Introduccion a las TIC.pptxIntroduccion a las TIC.pptx
Introduccion a las TIC.pptx
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
 
2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf
 
Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...
Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...
Samuel Álvarez - Jornada Ciberseguridad COIT AEIT: Retos, Oportunidades Profe...
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
Seguridad de los sistemas operativos
Seguridad de los sistemas operativos Seguridad de los sistemas operativos
Seguridad de los sistemas operativos
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4
 
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANCurso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
 
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
CCN-CERT - Servicio De Respuesta A Incidentes [RootedCON 2010]
 
Futuro sistema
Futuro sistemaFuturo sistema
Futuro sistema
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)Monografia completa (seguridad en redes)
Monografia completa (seguridad en redes)
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendencias
 

Último

Unidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacionUnidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacionarmando_cardenas
 
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLOPARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLOSelenaCoronadoHuaman
 
Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200Opentix
 
Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3AlexysCaytanoMelndez1
 
Introducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTERIntroducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTEREMMAFLORESCARMONA
 
Manual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdfManual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdfmasogeis
 
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...ITeC Instituto Tecnología Construcción
 

Último (7)

Unidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacionUnidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacion
 
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLOPARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
 
Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200
 
Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3
 
Introducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTERIntroducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTER
 
Manual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdfManual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdf
 
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
 

Conversatorio Ciberseguridad - Ingeniería de software seguro

  • 1.  Copyright Cenfotec S.A. 2000..2015 Conversatorio Ciberseguridad, el lado luminoso, oscuro, unificado y vivo: Ingeniería de software seguro Octavo Congreso ISACA 2015 Ciberseguridad: Más allá del riesgo, control y cumplimiento Ignacio Trejos Zelaya Universidad Cenfotec y Cenfotec + TEC ISACA Costa Rica
  • 2.  Copyright Cenfotec S.A. 2000..2015 Temas • Ingeniería del software • Seguridad • Desarrollo de software seguro • Algunas técnicas • Puesta en marcha • Educación
  • 3.  Copyright Cenfotec S.A. 2000..2015 Seis (sub-)disciplinas informáticas CC SI IC IS TI IT
  • 4.  Copyright Cenfotec S.A. 2000..2015 1 2 345678 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 CE max 1 2345678 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 CS max 1 2345678 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 IS max 1 2345678 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 IT 1 2345678 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 SE
  • 5.  Copyright Cenfotec S.A. 2000..2015 Ingeniería del software Aspectos Organizacionales y Sistemas de Información Tecnologías de aplicación Métodos de Software y tecnologías Infraestructura de sistemas Hardware de computadoras y arquitectura Teorías Principios Innovación Aplicación Implantación Configuración
  • 6.  Copyright Cenfotec S.A. 2000..2015 ¿Ingeniería del software? • La ingeniería del software se ocupa de las teorías, métodos y herramientas para el desarrollo profesional de software: – comprende todos los aspectos de la producción de software – se ocupa de los problemas prácticos de desarrollar e implantar software útil • Los ingenieros del software adoptan un enfoque sistemático y organizado para realizar su trabajo y utilizan técnicas y herramientas apropiadas, dependiendo del problema por resolver, las restricciones del desarrollo y los recursos disponibles. Sommerville
  • 7.  Copyright Cenfotec S.A. 2000..2015 Finkelstein y Kramer, 2000 • “la rama de la Ingeniería de sistemas que trata del desarrollo de grandes y complejos sistemas intensivos en software. Se enfoca en: – las metas del mundo real de tales sistemas, así como los servicios que estos proveen y las restricciones sobre ellos – la especificación precisa del comportamiento y la estructura de los sistemas, y la implementación de estas especificaciones – las actividades requeridas a fin de desarrollar un aseguramiento de que se han satisfecho las especificaciones y las metas del mundo real – la evolución de tales sistemas en el tiempo y a través de familias de sistemas – los procesos, métodos y herramientas para el desarrollo de sistemas intensivos en software de una manera económica y oportuna.”
  • 8.  Copyright Cenfotec S.A. 2000..2015 Seguridad, en español • En inglés se distingue entre security y safety. Ambas palabras se traducen a seguridad en castellano. Sus connotaciones son distintas: – Security: protección contra el peligro que se origina “desde afuera” con la intención de provocar algún daño (a personas, propiedades, ambiente, etc.) – Safety: protegerse de los daños que son consecuencia de errores, fallas, accidentes, equivocaciones u otros sucesos que carecen de una provocación intencional
  • 9.  Copyright Cenfotec S.A. 2000..2015 Seguridad (safety) vs seguridad (security)
  • 10.  Copyright Cenfotec S.A. 2000..2015 Privacidad versus seguridad
  • 11.  Copyright Cenfotec S.A. 2000..2015 Seguridad • Dependencia de la tecnología • Vulnerabilidades y deficiencias técnicas • Los malos están tratando de hacer daño • Talones de Aquiles: ignorancia e infundada confianza • Prevenir es mejor que curar
  • 12.  Copyright Cenfotec S.A. 2000..2015 Seguridad de la información • confidencialidad: “asegurar que la información es accesible solamente a aquellos que tienen acceso autorizado”. Las técnicas criptológicas ayudan a implementar este tipo de protección. • integridad: los datos se mantienen inalterados al transmitirse, almacenarse y recuperarse. Solo pueden ser alterados por aquellos autorizados expresamente. • disponibilidad: el grado en que un sistema está en condiciones de dar servicio, cuando éste se requiere en un momento arbitrario.
  • 13.  Copyright Cenfotec S.A. 2000..2015 NIST: Riesgos informáticos
  • 14.  Copyright Cenfotec S.A. 2000..2015 FoundStone: abordaje integral
  • 15.  Copyright Cenfotec S.A. 2000..2015 Capers Jones: defectos
  • 16.  Copyright Cenfotec S.A. 2000..2015 Integración temprana de la seguridad
  • 17.  Copyright Cenfotec S.A. 2000..2015 Puntos de contacto, McGraw
  • 18.  Copyright Cenfotec S.A. 2000..2015 Microsoft, temprano
  • 19.  Copyright Cenfotec S.A. 2000..2015 Microsoft, 2005
  • 20.  Copyright Cenfotec S.A. 2000..2015 Microsoft, 2012
  • 21.  Copyright Cenfotec S.A. 2000..2015 Infosec S-SDLC
  • 22.  Copyright Cenfotec S.A. 2000..2015 McGraw, 2006
  • 23.  Copyright Cenfotec S.A. 2000..2015 McGraw, mapeos (2006)
  • 24.  Copyright Cenfotec S.A. 2000..2015 FoundStone: consideraciones proceso
  • 25.  Copyright Cenfotec S.A. 2000..2015 Reducir defectos
  • 26.  Copyright Cenfotec S.A. 2000..2015 Casos de uso malintencionado
  • 27.  Copyright Cenfotec S.A. 2000..2015 Requerimientos de seguridad (safety)
  • 28.  Copyright Cenfotec S.A. 2000..2015 Casos de abuso informáticos
  • 29.  Copyright Cenfotec S.A. 2000..2015
  • 30.  Copyright Cenfotec S.A. 2000..2015 Árboles de ataque
  • 31.  Copyright Cenfotec S.A. 2000..2015 Praxis Sytems
  • 32.  Copyright Cenfotec S.A. 2000..2015 Seguridad en desarrollo ágil
  • 33.  Copyright Cenfotec S.A. 2000..2015 Narrativas de usuario genéricas
  • 34.  Copyright Cenfotec S.A. 2000..2015 (ISC)2: buenas prácticas
  • 35.  Copyright Cenfotec S.A. 2000..2015 Herramientas para análisis
  • 36.  Copyright Cenfotec S.A. 2000..2015 McGraw, Puesta en marcha (2006)
  • 37.  Copyright Cenfotec S.A. 2000..2015 McGraw, Puesta en marcha (2006)
  • 38.  Copyright Cenfotec S.A. 2000..2015 Educar
  • 39.  Copyright Cenfotec S.A. 2000..2015 SEI CERT currículum
  • 40.  Copyright Cenfotec S.A. 2000..2015 ACM & IEEE: Ingeniería del software
  • 41.  Copyright Cenfotec S.A. 2000..2015 SEEK 2014: nueva área de conocimiento