4. Seguridad vs Desarrolladores
●
Por que existen vulnerabilidades en las
aplicaciones?
●
Es posible realizar aplicaciones seguras?
●
Por que los desarrolladores no hacen foco
en seguridad como nosotros esperamos?
#1HackParaLosChicos 4
5. Seguridad vs Desarrolladores
Security: - “Los desarroladores no
saben nada de seguridad”...
Developer: - “Bueno, tengo
noticias, no sabes nada de
desarrollo”...
#1HackParaLosChicos 5
14. Seguridad vs Desarrolladores
Problematica (vulnerabilidades en aplicaciones)
●
Cualquier desarrollador puede hacer una
aplicación Web
●
Cualquier desarrollador puede tener un sitio
publico en internet
●
Son mucho más fáciles de explotar que un buffer
overflow
●
En general es posible acceder a información
confidencial sobre clientes de la empresa que es
vulnerada en un tiempo relativamente corto
#1HackParaLosChicos 14
15. Seguridad vs Desarrolladores
Algunas de las Causas
●
Los requerimientos de seguridad suelen ser
pobres o nulos
- “La aplicación debe ser segura”
- “La aplicación debe tener validaciones”
- “Usar cifrado en datos sensibles”
●
Ausencia de proceso de SDLC
●
Diseño orientado a funcionalidad
#1HackParaLosChicos 15
16. Seguridad vs Desarrolladores
Algunas de las Causas
●
Desarrolladores sin entrenamiento en
seguridad
- Pobre conocimiento de las amenazas
●
Escasez de especialistas
●
Ausencia de políticas de codificación segura
●
Pobres practicas de QA & Security Testing
●
Tiempo y presupuestos acotados
#1HackParaLosChicos 16
17. Seguridad vs Desarrolladores
Algunas de las Causas
●
Para los desarrolladores la
seguridad en las aplicaciones
“no es sexy”
- Si se hace bien, es invisible
●
Los bonos son por “tiempos de
entrega” y no por “calidad”
#1HackParaLosChicos 17
18. Seguridad vs Desarrolladores
Los desarrolladores y las personas de
seguridas deben cambiar su forma de
construir.
Debemos trabajar en la gestion del cambio
#1HackParaLosChicos 18
19. Seguridad vs Desarrolladores
Si quieres cambiar algo preguntate siempre
que estas queriendo conservar.
Humberto Maturana
La escucha y el
Observador
#1HackParaLosChicos 19
20. Seguridad vs Desarrolladores
●
Los problemas de escucha suelen ser
reciprocos:
Quien no se siente escuchado,
normalmente tampoco sabe escuchar a los
demas.
●
Seguridad y Desarrollo son observadores
diferentes
Actuamos en base a lo que observamos
●
Solo podemos intervenir en un mundo que
somos capaces de observar
#1HackParaLosChicos 20
21. Seguridad vs Desarrolladores
Observando...
●
Charlas y entrevistas con desarrolladores
●
Encuestas universitarias
●
Encuestas con mas de 200 desarrolladores
(John Wilander)
Para averiguar cómo la seguridad es prioridad.
#1HackParaLosChicos 21
22. Seguridad vs Desarrolladores
Prioridades de software según desarrolladores
(1) Funciones y características
(2) Rendimiento
(3) Usabilidad
(4) El tiempo de actividad
(5) Capacidad de mantenimiento
(6) Seguridad
#1HackParaLosChicos 22
23. Seguridad vs Desarrolladores
Prioridades de software según desarrolladores
(1) Un sistema sin funcionalidad es inutil.
(2) Un complemento de seguridad que afecta
la performance de todo el sistema lo hace
inviable.
(3) Un sistema con un uso muy pobre no
traera consumo.
#1HackParaLosChicos 23
24. Seguridad vs Desarrolladores
Prioridades de software según desarrolladores
(4) Hey! Eso es nuestro! NO, el hecho de que
los ataques de DoS puedan existir no significa
que sea un tema propio.
(5) El mantenimiento afecta al retorno de la
inversion y soporte.
(6) Seguridad.
#1HackParaLosChicos 24
25. Seguridad vs Desarrolladores
Aclaraciones
●
La lista de prioridades no es un
ordenamiento de funciones.
●
No indica que la seguridad debe ser
independiente.
●
La lista se limita a decir cómo los gerentes o
lideres priorizan el gasto y el tiempo de los
desarrolladores en el trabajo y la
capacitación.
#1HackParaLosChicos 25
26. Seguridad vs Desarrolladores
Aclaraciones
●
Un problema de rendimiento vs uno de
seguridad.
●
Un curso de HTML5 y otro de AppSec
●
Premios y bonos por tiempo vs Calidad
●
Cantidad de modulos vs Cantidad de bugs
#1HackParaLosChicos 26
28. Seguridad vs Desarrolladores
Estableciendo un cambio
●
Cambiar la manera de observar las
aplicaciones.
●
Generar premios por generar codigo seguro.
Lograr inquietudes
Segun sus inquietudes actuaran de una u otra
forma. La inquietud es lo que mueve a actuar.
●
Comer con los desarrolladores: Tome un poco
de su presupuesto de seguridad y establesca
almuerzos o desayunos con desarrolladores.
#1HackParaLosChicos 28
29. Seguridad vs Desarrolladores
Estableciendo un cambio
●
Las personas son la clave para las soluciones.
Los profesionales de seguridad deben
construir buenas relaciones con los
desarrolladores de software para llevar a cabo
aplicaciones seguras.
●
Aprender lo que es importante en el
software y donde la seguridad se inscribe
como un proceso.
#1HackParaLosChicos 29