SlideShare una empresa de Scribd logo

Seguridad vs Desarrolladores

Jaime Restrepo
Jaime Restrepo

Seguridad vs Desarrolladores Martín Tartarelli 1Hackparaloschicos

Tecnología
1 de 31
Descargar para leer sin conexión
1Hack ParaLosChicos Jornada Solidaria de Seguridad de la Información 26 de julio, Buenos Aires - Argentina
Seguridad vs Desarrolladores #1HackParaLosChicos 2
Seguridad vs Desarrolladores #1HackParaLosChicos 3
Seguridad vs Desarrolladores ● Por que existen vulnerabilidades en las aplicaciones? ● Es posible realizar aplicaciones seguras? ● Por que los desarrolladores no hacen foco en seguridad como nosotros esperamos? #1HackParaLosChicos 4
Seguridad vs Desarrolladores Security: - “Los desarroladores no saben nada de seguridad”... Developer: - “Bueno, tengo noticias, no sabes nada de desarrollo”... #1HackParaLosChicos 5
Desarrolladores #1HackParaLosChicos 6
Seguridad #1HackParaLosChicos 7
Seguridad #1HackParaLosChicos 8
Seguridad #1HackParaLosChicos 9
Seguridad #1HackParaLosChicos 10
Seguridad vs Desarrolladores #1HackParaLosChicos 11
Seguridad vs Desarrolladores #1HackParaLosChicos 12
Seguridad vs Desarrolladores #1HackParaLosChicos 13
Seguridad vs Desarrolladores Problematica (vulnerabilidades en aplicaciones) ● Cualquier desarrollador puede hacer una aplicación Web ● Cualquier desarrollador puede tener un sitio publico en internet ● Son mucho más fáciles de explotar que un buffer overflow ● En general es posible acceder a información confidencial sobre clientes de la empresa que es vulnerada en un tiempo relativamente corto #1HackParaLosChicos 14
Seguridad vs Desarrolladores Algunas de las Causas ● Los requerimientos de seguridad suelen ser pobres o nulos - “La aplicación debe ser segura” - “La aplicación debe tener validaciones” - “Usar cifrado en datos sensibles” ● Ausencia de proceso de SDLC ● Diseño orientado a funcionalidad #1HackParaLosChicos 15
Seguridad vs Desarrolladores Algunas de las Causas ● Desarrolladores sin entrenamiento en seguridad - Pobre conocimiento de las amenazas ● Escasez de especialistas ● Ausencia de políticas de codificación segura ● Pobres practicas de QA & Security Testing ● Tiempo y presupuestos acotados #1HackParaLosChicos 16
Seguridad vs Desarrolladores Algunas de las Causas ● Para los desarrolladores la seguridad en las aplicaciones “no es sexy” - Si se hace bien, es invisible ● Los bonos son por “tiempos de entrega” y no por “calidad” #1HackParaLosChicos 17
Seguridad vs Desarrolladores Los desarrolladores y las personas de seguridas deben cambiar su forma de construir. Debemos trabajar en la gestion del cambio #1HackParaLosChicos 18
Seguridad vs Desarrolladores Si quieres cambiar algo preguntate siempre que estas queriendo conservar. Humberto Maturana La escucha y el Observador #1HackParaLosChicos 19
Seguridad vs Desarrolladores ● Los problemas de escucha suelen ser reciprocos: Quien no se siente escuchado, normalmente tampoco sabe escuchar a los demas. ● Seguridad y Desarrollo son observadores diferentes Actuamos en base a lo que observamos ● Solo podemos intervenir en un mundo que somos capaces de observar #1HackParaLosChicos 20
Seguridad vs Desarrolladores Observando... ● Charlas y entrevistas con desarrolladores ● Encuestas universitarias ● Encuestas con mas de 200 desarrolladores (John Wilander) Para averiguar cómo la seguridad es prioridad. #1HackParaLosChicos 21
Seguridad vs Desarrolladores Prioridades de software según desarrolladores (1) Funciones y características (2) Rendimiento (3) Usabilidad (4) El tiempo de actividad (5) Capacidad de mantenimiento (6) Seguridad #1HackParaLosChicos 22
Seguridad vs Desarrolladores Prioridades de software según desarrolladores (1) Un sistema sin funcionalidad es inutil. (2) Un complemento de seguridad que afecta la performance de todo el sistema lo hace inviable. (3) Un sistema con un uso muy pobre no traera consumo. #1HackParaLosChicos 23
Seguridad vs Desarrolladores Prioridades de software según desarrolladores (4) Hey! Eso es nuestro! NO, el hecho de que los ataques de DoS puedan existir no significa que sea un tema propio. (5) El mantenimiento afecta al retorno de la inversion y soporte. (6) Seguridad. #1HackParaLosChicos 24
Seguridad vs Desarrolladores Aclaraciones ● La lista de prioridades no es un ordenamiento de funciones. ● No indica que la seguridad debe ser independiente. ● La lista se limita a decir cómo los gerentes o lideres priorizan el gasto y el tiempo de los desarrolladores en el trabajo y la capacitación. #1HackParaLosChicos 25
Seguridad vs Desarrolladores Aclaraciones ● Un problema de rendimiento vs uno de seguridad. ● Un curso de HTML5 y otro de AppSec ● Premios y bonos por tiempo vs Calidad ● Cantidad de modulos vs Cantidad de bugs #1HackParaLosChicos 26
Seguridad vs Desarrolladores #1HackParaLosChicos 27
Seguridad vs Desarrolladores Estableciendo un cambio ● Cambiar la manera de observar las aplicaciones. ● Generar premios por generar codigo seguro. Lograr inquietudes Segun sus inquietudes actuaran de una u otra forma. La inquietud es lo que mueve a actuar. ● Comer con los desarrolladores: Tome un poco de su presupuesto de seguridad y establesca almuerzos o desayunos con desarrolladores. #1HackParaLosChicos 28
Seguridad vs Desarrolladores Estableciendo un cambio ● Las personas son la clave para las soluciones. Los profesionales de seguridad deben construir buenas relaciones con los desarrolladores de software para llevar a cabo aplicaciones seguras. ● Aprender lo que es importante en el software y donde la seguridad se inscribe como un proceso. #1HackParaLosChicos 29
Preguntas? [@tartamar] #1HackParaLosChicos 30
Muchas Gracias!! #1hackparaloschicos

Recomendados

GCV Agile testing y videojuegos (Francisco Moreno) - Gestión de la Calidad en...
GCV Agile testing y videojuegos (Francisco Moreno) - Gestión de la Calidad en...GCV Agile testing y videojuegos (Francisco Moreno) - Gestión de la Calidad en...
GCV Agile testing y videojuegos (Francisco Moreno) - Gestión de la Calidad en...Federico Peinado
 
GCV 04 Control de calidad: Generalidades - Gestión de la Calidad en Videojuegos
GCV 04 Control de calidad: Generalidades - Gestión de la Calidad en VideojuegosGCV 04 Control de calidad: Generalidades - Gestión de la Calidad en Videojuegos
GCV 04 Control de calidad: Generalidades - Gestión de la Calidad en VideojuegosFederico Peinado
 
Como implementar La Automatización De Pruebas y No Morir En El Intento
Como implementar La Automatización De Pruebas y No Morir En El IntentoComo implementar La Automatización De Pruebas y No Morir En El Intento
Como implementar La Automatización De Pruebas y No Morir En El IntentoSoftware Guru
 
GCV 02 Herramientas de desarrollo: Generales - Gestión de la Calidad en Video...
GCV 02 Herramientas de desarrollo: Generales - Gestión de la Calidad en Video...GCV 02 Herramientas de desarrollo: Generales - Gestión de la Calidad en Video...
GCV 02 Herramientas de desarrollo: Generales - Gestión de la Calidad en Video...Federico Peinado
 
¿Qué tiene de apasionante la ingeniería de software?
¿Qué tiene de apasionante la ingeniería de software?¿Qué tiene de apasionante la ingeniería de software?
¿Qué tiene de apasionante la ingeniería de software?Software Guru
 
La ingeniería de requerimiento en el proceso ágil
La ingeniería de requerimiento en el proceso ágilLa ingeniería de requerimiento en el proceso ágil
La ingeniería de requerimiento en el proceso ágilSoftware Guru
 
GCV 03 Herramientas de desarrollo: Específicas para Videojuegos - Gestión de ...
GCV 03 Herramientas de desarrollo: Específicas para Videojuegos - Gestión de ...GCV 03 Herramientas de desarrollo: Específicas para Videojuegos - Gestión de ...
GCV 03 Herramientas de desarrollo: Específicas para Videojuegos - Gestión de ...Federico Peinado
 
Proyecto 02 (90 preguntas)
Proyecto 02 (90 preguntas)Proyecto 02 (90 preguntas)
Proyecto 02 (90 preguntas)JuanJosePeraltaGutir
 

Recomendados

GCV Agile testing y videojuegos (Francisco Moreno) - Gestión de la Calidad en...
GCV Agile testing y videojuegos (Francisco Moreno) - Gestión de la Calidad en...GCV Agile testing y videojuegos (Francisco Moreno) - Gestión de la Calidad en...
GCV Agile testing y videojuegos (Francisco Moreno) - Gestión de la Calidad en...Federico Peinado
 
GCV 04 Control de calidad: Generalidades - Gestión de la Calidad en Videojuegos
GCV 04 Control de calidad: Generalidades - Gestión de la Calidad en VideojuegosGCV 04 Control de calidad: Generalidades - Gestión de la Calidad en Videojuegos
GCV 04 Control de calidad: Generalidades - Gestión de la Calidad en VideojuegosFederico Peinado
 
Como implementar La Automatización De Pruebas y No Morir En El Intento
Como implementar La Automatización De Pruebas y No Morir En El IntentoComo implementar La Automatización De Pruebas y No Morir En El Intento
Como implementar La Automatización De Pruebas y No Morir En El IntentoSoftware Guru
 
GCV 02 Herramientas de desarrollo: Generales - Gestión de la Calidad en Video...
GCV 02 Herramientas de desarrollo: Generales - Gestión de la Calidad en Video...GCV 02 Herramientas de desarrollo: Generales - Gestión de la Calidad en Video...
GCV 02 Herramientas de desarrollo: Generales - Gestión de la Calidad en Video...Federico Peinado
 
¿Qué tiene de apasionante la ingeniería de software?
¿Qué tiene de apasionante la ingeniería de software?¿Qué tiene de apasionante la ingeniería de software?
¿Qué tiene de apasionante la ingeniería de software?Software Guru
 
La ingeniería de requerimiento en el proceso ágil
La ingeniería de requerimiento en el proceso ágilLa ingeniería de requerimiento en el proceso ágil
La ingeniería de requerimiento en el proceso ágilSoftware Guru
 
GCV 03 Herramientas de desarrollo: Específicas para Videojuegos - Gestión de ...
GCV 03 Herramientas de desarrollo: Específicas para Videojuegos - Gestión de ...GCV 03 Herramientas de desarrollo: Específicas para Videojuegos - Gestión de ...
GCV 03 Herramientas de desarrollo: Específicas para Videojuegos - Gestión de ...Federico Peinado
 
Proyecto 02 (90 preguntas)
Proyecto 02 (90 preguntas)Proyecto 02 (90 preguntas)
Proyecto 02 (90 preguntas)JuanJosePeraltaGutir
 
Ha2 nv50 rodriguez montiel moises-xp
Ha2 nv50 rodriguez montiel moises-xpHa2 nv50 rodriguez montiel moises-xp
Ha2 nv50 rodriguez montiel moises-xpMoisés Ulises Rodríguez Montiel
 
Fallas en el sw
Fallas en el swFallas en el sw
Fallas en el swAlejandra Duque Ceballos
 
Presentacionde90preguntas 210407222729
Presentacionde90preguntas 210407222729Presentacionde90preguntas 210407222729
Presentacionde90preguntas 210407222729Brayan Seña
 
Tw ¿Por qué elegir ágil?
Tw ¿Por qué elegir ágil? Tw ¿Por qué elegir ágil?
Tw ¿Por qué elegir ágil? Agile Express Ecuador / Thoughtworks
 
Proyecto #2
Proyecto #2Proyecto #2
Proyecto #2StefannyGuerrero5
 
Monografia Metodologia Agil XP
Monografia Metodologia Agil XPMonografia Metodologia Agil XP
Monografia Metodologia Agil XPJorw Yengle
 
Monografia metodologia agil xp oficial
Monografia metodologia agil xp oficialMonografia metodologia agil xp oficial
Monografia metodologia agil xp oficialHarry G Portales
 
Si no testeo no me lo creo
Si no testeo no me lo creoSi no testeo no me lo creo
Si no testeo no me lo creoRicardo García Fernández
 
Programacion Extrema
Programacion ExtremaProgramacion Extrema
Programacion ExtremaEdgar Espinoza Silverio
 
¿Cómo convertirse en un Tester de verdad?
¿Cómo convertirse en un Tester de verdad?¿Cómo convertirse en un Tester de verdad?
¿Cómo convertirse en un Tester de verdad?Software Guru
 
Presentacion de xp scrum final (1)
Presentacion de xp scrum final (1)Presentacion de xp scrum final (1)
Presentacion de xp scrum final (1)marihencely
 
Metodologia xp
Metodologia xpMetodologia xp
Metodologia xpfiremas
 
ingenieria de software
ingenieria de softwareingenieria de software
ingenieria de softwareleticia portillo
 
2. introduccion a la_ing_de_software
2. introduccion a la_ing_de_software2. introduccion a la_ing_de_software
2. introduccion a la_ing_de_softwareuniv of pamplona
 
Seguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesSeguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesJaime Restrepo
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Fundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptxFundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptxmateoaramedi
 
Introducción al Desarrollo de Software
Introducción al Desarrollo de SoftwareIntroducción al Desarrollo de Software
Introducción al Desarrollo de SoftwareBarbara brice?
 
Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Cristián Rojas, MSc., CSSLP
 
Desarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMDesarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMInternet Security Auditors
 
Working with a design system
Working with a design systemWorking with a design system
Working with a design systemMarcos Trujillo Seoane
 
Dev ops en arquitectura de sistemas
Dev ops en arquitectura de sistemasDev ops en arquitectura de sistemas
Dev ops en arquitectura de sistemasMitzi Moncada
 

Más contenido relacionado

La actualidad más candente

Presentacionde90preguntas 210407222729
Presentacionde90preguntas 210407222729Presentacionde90preguntas 210407222729
Presentacionde90preguntas 210407222729Brayan Seña
 
Monografia Metodologia Agil XP
Monografia Metodologia Agil XPMonografia Metodologia Agil XP
Monografia Metodologia Agil XPJorw Yengle
 
Monografia metodologia agil xp oficial
Monografia metodologia agil xp oficialMonografia metodologia agil xp oficial
Monografia metodologia agil xp oficialHarry G Portales
 
¿Cómo convertirse en un Tester de verdad?
¿Cómo convertirse en un Tester de verdad?¿Cómo convertirse en un Tester de verdad?
¿Cómo convertirse en un Tester de verdad?Software Guru
 
Presentacion de xp scrum final (1)
Presentacion de xp scrum final (1)Presentacion de xp scrum final (1)
Presentacion de xp scrum final (1)marihencely
 
Metodologia xp
Metodologia xpMetodologia xp
Metodologia xpfiremas
 

La actualidad más candente (13)

Ha2 nv50 rodriguez montiel moises-xp
Ha2 nv50 rodriguez montiel moises-xpHa2 nv50 rodriguez montiel moises-xp
Ha2 nv50 rodriguez montiel moises-xp
 
Fallas en el sw
Fallas en el swFallas en el sw
Fallas en el sw
 
Presentacionde90preguntas 210407222729
Presentacionde90preguntas 210407222729Presentacionde90preguntas 210407222729
Presentacionde90preguntas 210407222729
 
Tw ¿Por qué elegir ágil?
Tw ¿Por qué elegir ágil? Tw ¿Por qué elegir ágil?
Tw ¿Por qué elegir ágil?
 
Proyecto #2
Proyecto #2Proyecto #2
Proyecto #2
 
Monografia Metodologia Agil XP
Monografia Metodologia Agil XPMonografia Metodologia Agil XP
Monografia Metodologia Agil XP
 
Monografia metodologia agil xp oficial
Monografia metodologia agil xp oficialMonografia metodologia agil xp oficial
Monografia metodologia agil xp oficial
 
Si no testeo no me lo creo
Si no testeo no me lo creoSi no testeo no me lo creo
Si no testeo no me lo creo
 
Programacion Extrema
Programacion ExtremaProgramacion Extrema
Programacion Extrema
 
¿Cómo convertirse en un Tester de verdad?
¿Cómo convertirse en un Tester de verdad?¿Cómo convertirse en un Tester de verdad?
¿Cómo convertirse en un Tester de verdad?
 
Presentacion de xp scrum final (1)
Presentacion de xp scrum final (1)Presentacion de xp scrum final (1)
Presentacion de xp scrum final (1)
 
Metodologia xp
Metodologia xpMetodologia xp
Metodologia xp
 
ingenieria de software
ingenieria de softwareingenieria de software
ingenieria de software
 

Similar a Seguridad vs Desarrolladores

2. introduccion a la_ing_de_software
2. introduccion a la_ing_de_software2. introduccion a la_ing_de_software
2. introduccion a la_ing_de_softwareuniv of pamplona
 
Seguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesSeguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesJaime Restrepo
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Fundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptxFundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptxmateoaramedi
 
Introducción al Desarrollo de Software
Introducción al Desarrollo de SoftwareIntroducción al Desarrollo de Software
Introducción al Desarrollo de SoftwareBarbara brice?
 
Desarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMDesarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMInternet Security Auditors
 
Dev ops en arquitectura de sistemas
Dev ops en arquitectura de sistemasDev ops en arquitectura de sistemas
Dev ops en arquitectura de sistemasMitzi Moncada
 
Diapositivas guia 1 de software.melissa burgos
Diapositivas guia 1 de software.melissa burgosDiapositivas guia 1 de software.melissa burgos
Diapositivas guia 1 de software.melissa burgosMelissa Burgos
 
Modelos de Negocio con Software Libre 5/6 Usuarios
Modelos de Negocio con Software Libre 5/6 UsuariosModelos de Negocio con Software Libre 5/6 Usuarios
Modelos de Negocio con Software Libre 5/6 UsuariosSergio Montoro Ten
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Internet Security Auditors
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosjoselucho_89
 
Jornada Workshop: "Gobernando IT en el Siglo XXI"
Jornada Workshop: "Gobernando IT en el Siglo XXI"Jornada Workshop: "Gobernando IT en el Siglo XXI"
Jornada Workshop: "Gobernando IT en el Siglo XXI"Mkt Manager Data Adviser
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesJaime Andrés Bello Vieda
 
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]RootedCON
 
Importancia del testing en los proyectos
Importancia del testing en los proyectosImportancia del testing en los proyectos
Importancia del testing en los proyectosSoftware Guru
 
Desarrollo INGENIERIA EN SOFTWARE.pptx
Desarrollo INGENIERIA EN SOFTWARE.pptxDesarrollo INGENIERIA EN SOFTWARE.pptx
Desarrollo INGENIERIA EN SOFTWARE.pptxMoises Martinez
 

Similar a Seguridad vs Desarrolladores (20)

2. introduccion a la_ing_de_software
2. introduccion a la_ing_de_software2. introduccion a la_ing_de_software
2. introduccion a la_ing_de_software
 
Seguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesSeguridad en Dispositivos Móviles
Seguridad en Dispositivos Móviles
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
Fundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptxFundamentos_de_ingenieria_de_software.pptx
Fundamentos_de_ingenieria_de_software.pptx
 
Introducción al Desarrollo de Software
Introducción al Desarrollo de SoftwareIntroducción al Desarrollo de Software
Introducción al Desarrollo de Software
 
Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?
 
Desarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMDesarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMM
 
Working with a design system
Working with a design systemWorking with a design system
Working with a design system
 
Dev ops en arquitectura de sistemas
Dev ops en arquitectura de sistemasDev ops en arquitectura de sistemas
Dev ops en arquitectura de sistemas
 
Diapositivas guia 1 de software.melissa burgos
Diapositivas guia 1 de software.melissa burgosDiapositivas guia 1 de software.melissa burgos
Diapositivas guia 1 de software.melissa burgos
 
Modelos de Negocio con Software Libre 5/6 Usuarios
Modelos de Negocio con Software Libre 5/6 UsuariosModelos de Negocio con Software Libre 5/6 Usuarios
Modelos de Negocio con Software Libre 5/6 Usuarios
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Jornada Workshop: "Gobernando IT en el Siglo XXI"
Jornada Workshop: "Gobernando IT en el Siglo XXI"Jornada Workshop: "Gobernando IT en el Siglo XXI"
Jornada Workshop: "Gobernando IT en el Siglo XXI"
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Presentación de preguntas
Presentación de preguntasPresentación de preguntas
Presentación de preguntas
 
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
Paco Ramirez - M.E.A.T. - Make Enviroment Android Tools [rooted2019]
 
Importancia del testing en los proyectos
Importancia del testing en los proyectosImportancia del testing en los proyectos
Importancia del testing en los proyectos
 
Desarrollo INGENIERIA EN SOFTWARE.pptx
Desarrollo INGENIERIA EN SOFTWARE.pptxDesarrollo INGENIERIA EN SOFTWARE.pptx
Desarrollo INGENIERIA EN SOFTWARE.pptx
 
Ingeniería de Software, Agilidad y Tecnología
Ingeniería de Software, Agilidad y TecnologíaIngeniería de Software, Agilidad y Tecnología
Ingeniería de Software, Agilidad y Tecnología
 

Más de Jaime Restrepo

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )Jaime Restrepo
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lostJaime Restrepo
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4Jaime Restrepo
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarJaime Restrepo
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticosJaime Restrepo
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Jaime Restrepo
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...Jaime Restrepo
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)Jaime Restrepo
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxJaime Restrepo
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyJaime Restrepo
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conJaime Restrepo
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarJaime Restrepo
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursJaime Restrepo
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Jaime Restrepo
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysisJaime Restrepo
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoJaime Restrepo
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoJaime Restrepo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Jaime Restrepo
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Jaime Restrepo
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroJaime Restrepo
 

Más de Jaime Restrepo (20)

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lost
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jar
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticos
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-Energy
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_con
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jar
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behaviours
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysis
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dicho
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
 

Último

Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 

Último (10)

Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 

Seguridad vs Desarrolladores

  • 1. 1Hack ParaLosChicos Jornada Solidaria de Seguridad de la Información 26 de julio, Buenos Aires - Argentina
  • 2. Seguridad vs Desarrolladores #1HackParaLosChicos 2
  • 4. Seguridad vs Desarrolladores ● Por que existen vulnerabilidades en las aplicaciones? ● Es posible realizar aplicaciones seguras? ● Por que los desarrolladores no hacen foco en seguridad como nosotros esperamos? #1HackParaLosChicos 4
  • 5. Seguridad vs Desarrolladores Security: - “Los desarroladores no saben nada de seguridad”... Developer: - “Bueno, tengo noticias, no sabes nada de desarrollo”... #1HackParaLosChicos 5
  • 14. Seguridad vs Desarrolladores Problematica (vulnerabilidades en aplicaciones) ● Cualquier desarrollador puede hacer una aplicación Web ● Cualquier desarrollador puede tener un sitio publico en internet ● Son mucho más fáciles de explotar que un buffer overflow ● En general es posible acceder a información confidencial sobre clientes de la empresa que es vulnerada en un tiempo relativamente corto #1HackParaLosChicos 14
  • 15. Seguridad vs Desarrolladores Algunas de las Causas ● Los requerimientos de seguridad suelen ser pobres o nulos - “La aplicación debe ser segura” - “La aplicación debe tener validaciones” - “Usar cifrado en datos sensibles” ● Ausencia de proceso de SDLC ● Diseño orientado a funcionalidad #1HackParaLosChicos 15
  • 16. Seguridad vs Desarrolladores Algunas de las Causas ● Desarrolladores sin entrenamiento en seguridad - Pobre conocimiento de las amenazas ● Escasez de especialistas ● Ausencia de políticas de codificación segura ● Pobres practicas de QA & Security Testing ● Tiempo y presupuestos acotados #1HackParaLosChicos 16
  • 17. Seguridad vs Desarrolladores Algunas de las Causas ● Para los desarrolladores la seguridad en las aplicaciones “no es sexy” - Si se hace bien, es invisible ● Los bonos son por “tiempos de entrega” y no por “calidad” #1HackParaLosChicos 17
  • 18. Seguridad vs Desarrolladores Los desarrolladores y las personas de seguridas deben cambiar su forma de construir. Debemos trabajar en la gestion del cambio #1HackParaLosChicos 18
  • 19. Seguridad vs Desarrolladores Si quieres cambiar algo preguntate siempre que estas queriendo conservar. Humberto Maturana La escucha y el Observador #1HackParaLosChicos 19
  • 20. Seguridad vs Desarrolladores ● Los problemas de escucha suelen ser reciprocos: Quien no se siente escuchado, normalmente tampoco sabe escuchar a los demas. ● Seguridad y Desarrollo son observadores diferentes Actuamos en base a lo que observamos ● Solo podemos intervenir en un mundo que somos capaces de observar #1HackParaLosChicos 20
  • 21. Seguridad vs Desarrolladores Observando... ● Charlas y entrevistas con desarrolladores ● Encuestas universitarias ● Encuestas con mas de 200 desarrolladores (John Wilander) Para averiguar cómo la seguridad es prioridad. #1HackParaLosChicos 21
  • 22. Seguridad vs Desarrolladores Prioridades de software según desarrolladores (1) Funciones y características (2) Rendimiento (3) Usabilidad (4) El tiempo de actividad (5) Capacidad de mantenimiento (6) Seguridad #1HackParaLosChicos 22
  • 23. Seguridad vs Desarrolladores Prioridades de software según desarrolladores (1) Un sistema sin funcionalidad es inutil. (2) Un complemento de seguridad que afecta la performance de todo el sistema lo hace inviable. (3) Un sistema con un uso muy pobre no traera consumo. #1HackParaLosChicos 23
  • 24. Seguridad vs Desarrolladores Prioridades de software según desarrolladores (4) Hey! Eso es nuestro! NO, el hecho de que los ataques de DoS puedan existir no significa que sea un tema propio. (5) El mantenimiento afecta al retorno de la inversion y soporte. (6) Seguridad. #1HackParaLosChicos 24
  • 25. Seguridad vs Desarrolladores Aclaraciones ● La lista de prioridades no es un ordenamiento de funciones. ● No indica que la seguridad debe ser independiente. ● La lista se limita a decir cómo los gerentes o lideres priorizan el gasto y el tiempo de los desarrolladores en el trabajo y la capacitación. #1HackParaLosChicos 25
  • 26. Seguridad vs Desarrolladores Aclaraciones ● Un problema de rendimiento vs uno de seguridad. ● Un curso de HTML5 y otro de AppSec ● Premios y bonos por tiempo vs Calidad ● Cantidad de modulos vs Cantidad de bugs #1HackParaLosChicos 26
  • 28. Seguridad vs Desarrolladores Estableciendo un cambio ● Cambiar la manera de observar las aplicaciones. ● Generar premios por generar codigo seguro. Lograr inquietudes Segun sus inquietudes actuaran de una u otra forma. La inquietud es lo que mueve a actuar. ● Comer con los desarrolladores: Tome un poco de su presupuesto de seguridad y establesca almuerzos o desayunos con desarrolladores. #1HackParaLosChicos 28
  • 29. Seguridad vs Desarrolladores Estableciendo un cambio ● Las personas son la clave para las soluciones. Los profesionales de seguridad deben construir buenas relaciones con los desarrolladores de software para llevar a cabo aplicaciones seguras. ● Aprender lo que es importante en el software y donde la seguridad se inscribe como un proceso. #1HackParaLosChicos 29
  • 30. Preguntas? [@tartamar] #1HackParaLosChicos 30
  • 31. Muchas Gracias!! #1hackparaloschicos