SlideShare una empresa de Scribd logo

Microsoft Threat Modeling Tool

Peter Concha
Peter Concha

Presentación para las Jornadas SEGRED 17/06/2020

Tecnología
1 de 24
Descargar para leer sin conexión
Microsoft Threat Modeling Tool Peter Concha Regatto Líder de Comunidad
https://about.me/peterconchar
AVANET NACIÓ DE UN SUEÑO LLAMADO ALTRUISMO DIGITAL…
DURANTE 11 AÑOS HA TRABAJO PARA LA COMUNIDAD…
Contagiando gente a lo lejos…
Bienvenidos a SEGRED 17/06/2020
Microsoft Threat Modeling Tool
AGENDA • Introducción a SDL • Introducción al Modelado de Amenazas • Demostración • Referencias • Preguntas
Microsoft SDL Introducción
Qué es SDL? • El Microsoft SDL es el Ciclo de Vida del Desarrollo Seguro. • Introduce consideraciones de seguridad y privacidad en todas las fases del proceso de desarrollo. • Ayudar a los desarrolladores a desarrollar software altamente seguro, abordando los requisitos de cumplimiento de seguridad y reducir los costos de desarrollo. • La orientación, las mejores prácticas, las herramientas y los procesos en el SDL de Microsoft son prácticas que utilizan internamente para crear sus productos y servicios más seguros. Desde que se compartió por primera vez en 2008, han actualizado las prácticas como resultado de su creciente experiencia con nuevos escenarios, como la nube, Internet de las cosas (IoT) e inteligencia artificial (IA). https://www.microsoft.com/en-us/securityengineering/sdl/
Mi equipo no modela amenazas, debo preocuparme?
Por qué debo aplicar SDL? • Cumplimiento regulatorio de manejo de información (Privacidad de Información). • Aumento de confianza y credibilidad de sus clientes. • Reducción de esfuerzo y costos en desarrollo. https://www.microsoft.com/en-us/securityengineering/sdl/
Cuándo debo usar SDL? • Arquitecturas empresariales, negocio o organización. • Arquitecturas que manejen información de identificación personal (PII). • Arquitecturas expuestas en internet u otras redes. • Aplicaciones que procesen datos de fuentes no autenticadas. • Funcionalidades que procesen archivos que no están protegidos. https://www.microsoft.com/en-us/securityengineering/sdl/
Por dónde empiezo?
Por dónde empiezo? Identificando Conociendo el nivel de madurez posee mi organización. Auto evaluando Revisar la guía para evaluar el nivel de madurez. Implementando Usar la guía de recursos para crear un plan de implementación para el avance de la Madurez https://www.microsoft.com/en-us/securityengineering/sdl/
Modelado de Amenazas Introducción
Modelado de Amenazas • Es un elemento central del Ciclo de vida de desarrollo seguro de Microsoft (SDL). Es una técnica de ingeniería que puede usar para ayudarlo a identificar amenazas, ataques, vulnerabilidades y contramedidas que podrían afectar su arquitectura. Puede utilizar el modelado de amenazas para dar forma al diseño de su arquitectura, cumplir con los objetivos de seguridad de su empresa y reducir el riesgo. https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
Objetivos • Definir los requisitos de seguridad. • Crear un diagrama de arquitectura. • Identificar amenazas. • Mitigar Amenazas. • Validar que las amenazas han sido mitigadas. https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
Beneficios • No requiere ser experto en seguridad. • Poseer una herramienta de comunicación sobre el diseño de seguridad de sus sistemas. • Tendrá la capacidad de analizar esos diseños, para detectar posibles problemas de seguridad utilizando una metodología probada. • Podrás sugerir y gestionar mitigaciones por problemas de seguridad. https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
STRIDE (Amenaza) y DREAD (Riesgo) https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling Amenaza Propiedad Deseada Spoofing Autenticidad Tampering Integridad Repudiation No Repudiable Information disclosure Confidencialidad Denial of Service Disponibilidad Elevation of Privilege Autorización
Ejercicio Microsoft Threat Modeling Tool
Referencias • Microsoft Threat Modeling Tool • Guía de Microsoft SDL • Prácticas SDL • Más Recursos y Herramientas • OWASP Zed Attack Proxy(ZAP) • Mitigaciones Microsoft SDL
Preguntas?
https://about.me/peterconchar

Recomendados

Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Peter Concha
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?Yolanda Corral
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Fundamentos de seguridad informatica
Fundamentos de seguridad informaticaFundamentos de seguridad informatica
Fundamentos de seguridad informaticaiaraoz
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 

Recomendados

Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Buenas prácticas de desarrollo seguro basados en owasp 20211206
Buenas prácticas de desarrollo seguro basados en owasp 20211206Peter Concha
 
¿Qué es OWASP?
¿Qué es OWASP?¿Qué es OWASP?
¿Qué es OWASP?Yolanda Corral
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013La necesidad de construir software seguro. IBM Software Summit #Start013
La necesidad de construir software seguro. IBM Software Summit #Start013Internet Security Auditors
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Fundamentos de seguridad informatica
Fundamentos de seguridad informaticaFundamentos de seguridad informatica
Fundamentos de seguridad informaticaiaraoz
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Argentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting 2017 - Pruebas de software basadas en riesgos
Argentesting 2017 - Pruebas de software basadas en riesgosArgentesting
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaMUG Perú
 
¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?Eduardo Arriols Nuñez
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén VergaraINACAP
 
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCInternet Security Auditors
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Eduardo Godoy
Eduardo GodoyEduardo Godoy
Eduardo GodoyINACAP
 
Manejo De Vulnerabilidades 0-Day
Manejo De Vulnerabilidades 0-DayManejo De Vulnerabilidades 0-Day
Manejo De Vulnerabilidades 0-DayManuel Leiva
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actualJaime Restrepo
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBMPMI Capítulo México
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Desarrollo de software
Desarrollo de softwareDesarrollo de software
Desarrollo de softwareMiguel Ángel Cortés
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareFacultad de Informática UCM
 
fundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaarefundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaareLuz
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguroJesus Manuel Gilbert Castro
 
El producto y el proceso
El producto y el procesoEl producto y el proceso
El producto y el procesojenmer
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 
ActivosTI presentación empresarial 2020
ActivosTI presentación empresarial 2020ActivosTI presentación empresarial 2020
ActivosTI presentación empresarial 2020ActivosTI
 
Niebla sortillon jesus francisco actividad1.1 si5 1
Niebla sortillon jesus francisco actividad1.1 si5 1Niebla sortillon jesus francisco actividad1.1 si5 1
Niebla sortillon jesus francisco actividad1.1 si5 1Jesus Francisco Niebla Sortillón
 
Trabajo
TrabajoTrabajo
Trabajoroyholguin1990
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareConferencias FIST
 

Más contenido relacionado

La actualidad más candente

Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaMUG Perú
 
¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?Eduardo Arriols Nuñez
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén VergaraINACAP
 
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCInternet Security Auditors
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
 
Eduardo Godoy
Eduardo GodoyEduardo Godoy
Eduardo GodoyINACAP
 
Manejo De Vulnerabilidades 0-Day
Manejo De Vulnerabilidades 0-DayManejo De Vulnerabilidades 0-Day
Manejo De Vulnerabilidades 0-DayManuel Leiva
 

La actualidad más candente (9)

Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017
 
Ethical Hacking azure juan-oliva
Ethical Hacking azure juan-olivaEthical Hacking azure juan-oliva
Ethical Hacking azure juan-oliva
 
¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?¿Alguna vez has pensado que te gustaría ser "hacker"?
¿Alguna vez has pensado que te gustaría ser "hacker"?
 
Presentación Rubén Vergara
Presentación Rubén VergaraPresentación Rubén Vergara
Presentación Rubén Vergara
 
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiCDiseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
Diseño de aplicaciones web siguiendo el concepto hack-resilient. Respuestas SiC
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
 
Eduardo Godoy
Eduardo GodoyEduardo Godoy
Eduardo Godoy
 
Manejo De Vulnerabilidades 0-Day
Manejo De Vulnerabilidades 0-DayManejo De Vulnerabilidades 0-Day
Manejo De Vulnerabilidades 0-Day
 

Similar a Microsoft Threat Modeling Tool

Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actualJaime Restrepo
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
fundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaarefundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaareLuz
 
El producto y el proceso
El producto y el procesoEl producto y el proceso
El producto y el procesojenmer
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 
ActivosTI presentación empresarial 2020
ActivosTI presentación empresarial 2020ActivosTI presentación empresarial 2020
ActivosTI presentación empresarial 2020ActivosTI
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareConferencias FIST
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latamMateo Martinez
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLCRoger CARHUATOCTO
 
Tm01 el modelado en el desarrollo de software
Tm01 el modelado en el desarrollo de softwareTm01 el modelado en el desarrollo de software
Tm01 el modelado en el desarrollo de softwareJulio Pari
 

Similar a Microsoft Threat Modeling Tool (20)

Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actual
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
Desarrollo de software
Desarrollo de softwareDesarrollo de software
Desarrollo de software
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de software
 
fundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaarefundamentos teoricos ingenieria de softwaare
fundamentos teoricos ingenieria de softwaare
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguro
 
El producto y el proceso
El producto y el procesoEl producto y el proceso
El producto y el proceso
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
 
ActivosTI presentación empresarial 2020
ActivosTI presentación empresarial 2020ActivosTI presentación empresarial 2020
ActivosTI presentación empresarial 2020
 
Niebla sortillon jesus francisco actividad1.1 si5 1
Niebla sortillon jesus francisco actividad1.1 si5 1Niebla sortillon jesus francisco actividad1.1 si5 1
Niebla sortillon jesus francisco actividad1.1 si5 1
 
Trabajo
TrabajoTrabajo
Trabajo
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de Software
 
Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
 
Aplicaciones seguras
Aplicaciones seguras Aplicaciones seguras
Aplicaciones seguras
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
Software malware
Software malwareSoftware malware
Software malware
 
Taller: Scrum - Osvaldo Comelli
Taller: Scrum - Osvaldo ComelliTaller: Scrum - Osvaldo Comelli
Taller: Scrum - Osvaldo Comelli
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLC
 
Tm01 el modelado en el desarrollo de software
Tm01 el modelado en el desarrollo de softwareTm01 el modelado en el desarrollo de software
Tm01 el modelado en el desarrollo de software
 

Más de Peter Concha

Visual Studio Team Service.- Un viaje a dev ops
Visual Studio Team Service.- Un viaje a dev opsVisual Studio Team Service.- Un viaje a dev ops
Visual Studio Team Service.- Un viaje a dev opsPeter Concha
 
Microsoft Power BI.- Una Herramienta para BI
Microsoft Power BI.- Una Herramienta para BIMicrosoft Power BI.- Una Herramienta para BI
Microsoft Power BI.- Una Herramienta para BIPeter Concha
 
Xamarin.- Apps conectadas con azure
Xamarin.- Apps conectadas con azureXamarin.- Apps conectadas con azure
Xamarin.- Apps conectadas con azurePeter Concha
 
Invitación BarCamp 2015
Invitación BarCamp 2015Invitación BarCamp 2015
Invitación BarCamp 2015Peter Concha
 
Carta Agradecimiento Microsoft por EXPO USE
Carta Agradecimiento Microsoft por EXPO USECarta Agradecimiento Microsoft por EXPO USE
Carta Agradecimiento Microsoft por EXPO USEPeter Concha
 
Credencial 2011 - 2012
Credencial 2011 - 2012Credencial 2011 - 2012
Credencial 2011 - 2012Peter Concha
 
Azure Site Recovery.- Plan contra desastre
Azure Site Recovery.- Plan contra desastreAzure Site Recovery.- Plan contra desastre
Azure Site Recovery.- Plan contra desastrePeter Concha
 
Comunidades Técnicas.- Tips y Experiencias
Comunidades Técnicas.- Tips y ExperienciasComunidades Técnicas.- Tips y Experiencias
Comunidades Técnicas.- Tips y ExperienciasPeter Concha
 
Conversatorio MVP: Carrera, Código y Tecnología
Conversatorio MVP: Carrera, Código y TecnologíaConversatorio MVP: Carrera, Código y Tecnología
Conversatorio MVP: Carrera, Código y TecnologíaPeter Concha
 
Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...
Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...
Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...Peter Concha
 
Desarrollo de Aplicaciones PHP con Microsoft Azure
Desarrollo de Aplicaciones PHP con Microsoft AzureDesarrollo de Aplicaciones PHP con Microsoft Azure
Desarrollo de Aplicaciones PHP con Microsoft AzurePeter Concha
 
Intro a HTML5 Apps con Windows 8.1
Intro a HTML5 Apps con Windows 8.1Intro a HTML5 Apps con Windows 8.1
Intro a HTML5 Apps con Windows 8.1Peter Concha
 
Desarrollo Interoperable con WebMatrix y Modern.ie
Desarrollo Interoperable con WebMatrix y Modern.ieDesarrollo Interoperable con WebMatrix y Modern.ie
Desarrollo Interoperable con WebMatrix y Modern.iePeter Concha
 
Desarrollo de aplicaciones PHP con Azure
Desarrollo de aplicaciones PHP con AzureDesarrollo de aplicaciones PHP con Azure
Desarrollo de aplicaciones PHP con AzurePeter Concha
 
Programas Académicos y StartUps Con Microsoft
Programas Académicos y StartUps Con MicrosoftProgramas Académicos y StartUps Con Microsoft
Programas Académicos y StartUps Con MicrosoftPeter Concha
 
Enseñar A Programar A Los Más Chicos
Enseñar A Programar A Los Más ChicosEnseñar A Programar A Los Más Chicos
Enseñar A Programar A Los Más ChicosPeter Concha
 

Más de Peter Concha (20)

Visual Studio Team Service.- Un viaje a dev ops
Visual Studio Team Service.- Un viaje a dev opsVisual Studio Team Service.- Un viaje a dev ops
Visual Studio Team Service.- Un viaje a dev ops
 
Microsoft Power BI.- Una Herramienta para BI
Microsoft Power BI.- Una Herramienta para BIMicrosoft Power BI.- Una Herramienta para BI
Microsoft Power BI.- Una Herramienta para BI
 
Xamarin.- Apps conectadas con azure
Xamarin.- Apps conectadas con azureXamarin.- Apps conectadas con azure
Xamarin.- Apps conectadas con azure
 
Invitación BarCamp 2015
Invitación BarCamp 2015Invitación BarCamp 2015
Invitación BarCamp 2015
 
Carta Agradecimiento Microsoft por EXPO USE
Carta Agradecimiento Microsoft por EXPO USECarta Agradecimiento Microsoft por EXPO USE
Carta Agradecimiento Microsoft por EXPO USE
 
Credencial 2011 - 2012
Credencial 2011 - 2012Credencial 2011 - 2012
Credencial 2011 - 2012
 
es_ERL2016
es_ERL2016es_ERL2016
es_ERL2016
 
ERL2015
ERL2015ERL2015
ERL2015
 
ERL2014
ERL2014ERL2014
ERL2014
 
Azure Site Recovery.- Plan contra desastre
Azure Site Recovery.- Plan contra desastreAzure Site Recovery.- Plan contra desastre
Azure Site Recovery.- Plan contra desastre
 
Comunidades Técnicas.- Tips y Experiencias
Comunidades Técnicas.- Tips y ExperienciasComunidades Técnicas.- Tips y Experiencias
Comunidades Técnicas.- Tips y Experiencias
 
Conversatorio MVP: Carrera, Código y Tecnología
Conversatorio MVP: Carrera, Código y TecnologíaConversatorio MVP: Carrera, Código y Tecnología
Conversatorio MVP: Carrera, Código y Tecnología
 
Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...
Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...
Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...
 
2015 allsponsor
2015 allsponsor2015 allsponsor
2015 allsponsor
 
Desarrollo de Aplicaciones PHP con Microsoft Azure
Desarrollo de Aplicaciones PHP con Microsoft AzureDesarrollo de Aplicaciones PHP con Microsoft Azure
Desarrollo de Aplicaciones PHP con Microsoft Azure
 
Intro a HTML5 Apps con Windows 8.1
Intro a HTML5 Apps con Windows 8.1Intro a HTML5 Apps con Windows 8.1
Intro a HTML5 Apps con Windows 8.1
 
Desarrollo Interoperable con WebMatrix y Modern.ie
Desarrollo Interoperable con WebMatrix y Modern.ieDesarrollo Interoperable con WebMatrix y Modern.ie
Desarrollo Interoperable con WebMatrix y Modern.ie
 
Desarrollo de aplicaciones PHP con Azure
Desarrollo de aplicaciones PHP con AzureDesarrollo de aplicaciones PHP con Azure
Desarrollo de aplicaciones PHP con Azure
 
Programas Académicos y StartUps Con Microsoft
Programas Académicos y StartUps Con MicrosoftProgramas Académicos y StartUps Con Microsoft
Programas Académicos y StartUps Con Microsoft
 
Enseñar A Programar A Los Más Chicos
Enseñar A Programar A Los Más ChicosEnseñar A Programar A Los Más Chicos
Enseñar A Programar A Los Más Chicos
 

Último

ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 

Último (19)

ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 

Microsoft Threat Modeling Tool

  • 1. Microsoft Threat Modeling Tool Peter Concha Regatto Líder de Comunidad
  • 3. AVANET NACIÓ DE UN SUEÑO LLAMADO ALTRUISMO DIGITAL…
  • 4. DURANTE 11 AÑOS HA TRABAJO PARA LA COMUNIDAD…
  • 5. Contagiando gente a lo lejos…
  • 8. AGENDA • Introducción a SDL • Introducción al Modelado de Amenazas • Demostración • Referencias • Preguntas
  • 10. Qué es SDL? • El Microsoft SDL es el Ciclo de Vida del Desarrollo Seguro. • Introduce consideraciones de seguridad y privacidad en todas las fases del proceso de desarrollo. • Ayudar a los desarrolladores a desarrollar software altamente seguro, abordando los requisitos de cumplimiento de seguridad y reducir los costos de desarrollo. • La orientación, las mejores prácticas, las herramientas y los procesos en el SDL de Microsoft son prácticas que utilizan internamente para crear sus productos y servicios más seguros. Desde que se compartió por primera vez en 2008, han actualizado las prácticas como resultado de su creciente experiencia con nuevos escenarios, como la nube, Internet de las cosas (IoT) e inteligencia artificial (IA). https://www.microsoft.com/en-us/securityengineering/sdl/
  • 11. Mi equipo no modela amenazas, debo preocuparme?
  • 12. Por qué debo aplicar SDL? • Cumplimiento regulatorio de manejo de información (Privacidad de Información). • Aumento de confianza y credibilidad de sus clientes. • Reducción de esfuerzo y costos en desarrollo. https://www.microsoft.com/en-us/securityengineering/sdl/
  • 13. Cuándo debo usar SDL? • Arquitecturas empresariales, negocio o organización. • Arquitecturas que manejen información de identificación personal (PII). • Arquitecturas expuestas en internet u otras redes. • Aplicaciones que procesen datos de fuentes no autenticadas. • Funcionalidades que procesen archivos que no están protegidos. https://www.microsoft.com/en-us/securityengineering/sdl/
  • 15. Por dónde empiezo? Identificando Conociendo el nivel de madurez posee mi organización. Auto evaluando Revisar la guía para evaluar el nivel de madurez. Implementando Usar la guía de recursos para crear un plan de implementación para el avance de la Madurez https://www.microsoft.com/en-us/securityengineering/sdl/
  • 17. Modelado de Amenazas • Es un elemento central del Ciclo de vida de desarrollo seguro de Microsoft (SDL). Es una técnica de ingeniería que puede usar para ayudarlo a identificar amenazas, ataques, vulnerabilidades y contramedidas que podrían afectar su arquitectura. Puede utilizar el modelado de amenazas para dar forma al diseño de su arquitectura, cumplir con los objetivos de seguridad de su empresa y reducir el riesgo. https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
  • 18. Objetivos • Definir los requisitos de seguridad. • Crear un diagrama de arquitectura. • Identificar amenazas. • Mitigar Amenazas. • Validar que las amenazas han sido mitigadas. https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
  • 19. Beneficios • No requiere ser experto en seguridad. • Poseer una herramienta de comunicación sobre el diseño de seguridad de sus sistemas. • Tendrá la capacidad de analizar esos diseños, para detectar posibles problemas de seguridad utilizando una metodología probada. • Podrás sugerir y gestionar mitigaciones por problemas de seguridad. https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
  • 20. STRIDE (Amenaza) y DREAD (Riesgo) https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling Amenaza Propiedad Deseada Spoofing Autenticidad Tampering Integridad Repudiation No Repudiable Information disclosure Confidencialidad Denial of Service Disponibilidad Elevation of Privilege Autorización
  • 22. Referencias • Microsoft Threat Modeling Tool • Guía de Microsoft SDL • Prácticas SDL • Más Recursos y Herramientas • OWASP Zed Attack Proxy(ZAP) • Mitigaciones Microsoft SDL