SlideShare una empresa de Scribd logo

Aplicaciones seguras

Descargar como PPTX, PDF
Universidad Cenfotec
Universidad Cenfotec

Presentación realizada por el profesor Juan Matías en el evento de Crux Consultores el domingo 2 de julio de 2017

Software
1 de 18
Aplicaciones Seguras Juan Matías Matías aka: jUaNIX jmatias@ucenfotec.ac.cr San José, Costa Rica, 2017
Algo sobre mí ... Juan Matías • Ingeniería de Sistemas [1] (UNI – Perú) • Informática Administrativa (UNED – Costa Rica) • Maestría Innovación Educativa (UNITEC – México) • Mas de 20 años de experiencia en TIC’s • Estudios y experiencia de campo en Ciberseguridad • Profesor en Cenfotec desde el 2003 [1] La ingeniería de sistemas es un modo de enfoque interdisciplinario que permite estudiar y comprender la realidad, con el propósito de implementar u optimizar sistemas complejos Los ingenieros de sistemas tratan con sistemas abstractos y confían en otras disciplinas (matemáticas y física) para diseñar y entregar los productos tangibles que son la realización de esos sistemas. Fuente: Wikipedia
1. Introducción Algunas frases iniciales: • ¿Estamos seguros?, Por ejemplo, camino a casa. • O, sabemos ¿que es seguridad? Policías, guardas privados, cercas, etc. • ¿Que hacemos con nuestras vidas? Tenemos temor de muchas cosas. • ¿Lo aplicamos en el trabajo? Dejamos muchas cosas al libre albedrío (a la suerte) ¿Desarrollamos aplicaciones seguras?
2. ¿Qué es seguridad? Según la Real Academia de la Lengua - RAE [1] : Seguridad: Cualidad de seguro. Seguro: Libre y exento de todo peligro, daño o riesgo. ... según estas definiciones, seguridad informática es “sistema informático exento de peligro”[1] www.rae.es ¿Desarrollamos aplicaciones seguras?
3. Seguridad Informática Podríamos definir seguridad informática como: “Un conjunto de métodos y herramientas destinados a proteger la información y los sistemas informáticos ante cualquier amenaza, es un proceso en el cual participan, además, personas.” Por lo tanto: Es de suma importancia el concientizar a las personas de su importancia. ¿Desarrollamos aplicaciones seguras?
3. Seguridad Informática La seguridad informática no se refiere a la seguridad de los sistemas informáticos en si mismos, sino, a la protección de los datos que ellos contienen. La seguridad informática no es un bien medible, pero, a cambio, podríamos desarrollar diversas herramientas para cuantificar de alguna forma nuestra inseguridad informática. ¿Desarrollamos aplicaciones seguras?
El Proceso de desarrollo Actualmente la mayoría de los procesos de desarrollo no incluyen seguridad, o bien la incluyen al final, en la etapa de testing. ¡Seguridad vs Funcionalidad! ¿Calidad != Seguridad? El costo de solucionar las vulnerabilidades es mayor cuanto más tarde se detectan las mismas (igual que los bugs). ¿Desarrollamos aplicaciones seguras? 4. Aplicaciones Seguras
Algunos puntos a considerar:  Poca participación y compromiso de los usuarios.  Requerimientos incompletos.  Cambio de losrequerimientos.  Falta de soporte de la dirección.  Incompetencia tecnológica.  Falta de recursos.  Expectativas engañosas.  Objetivos poco claros.  Cronogramas irreales.  Nuevas tecnologías. ¿Desarrollamos aplicaciones seguras? 5. ¿Por qué fracasan los proyectos de SW?
Seguridad en el ciclo de vida del desarrollo de sw • La seguridad de la aplicación es responsabilidad del programador. • Nadie sabe cómo funciona, no nos van a atacar. • No se encontraron vulnerabilidades hasta ahora. • A nadie le interesaría atacar nuestra aplicación. • La aplicación es segura porque corre detrás de un firewall. • La aplicación es segura porque usa enciptamiento. • Sólo corre como Administrator/root. • Esa funcionalidad (insegura) viene habilitada “por defecto”, pero el Administrador la puede deshabilitar. • No hay tiempo para incluir seguridad. ¿Desarrollamos aplicaciones seguras? 6. Mitos y excusas
Seguridad Informática desde el inicio del proyecto Incorporar seguridad a lo largo de todas las etapas del ciclo de vida del desarrollo de software (SDLC [1] ). • Análisis • Diseño • Codificación • Testing • Implementación [1] Systems Development Life Cycle ¿Desarrollamos aplicaciones seguras? 7. Tendencia actual
Seguridad en el análisis de requerimientos En esta etapa se identifican características que derivarán en los requerimientos de seguridad del software: • Arquitectura de la aplicación: Cliente/servidor o Desktop • Plataforma donde correrá la aplicación: PC/Disp. Móvil. • Tipos de datos (almacenan/transfieren): Privados/ públicos. • Tipos de registro (log): Acceso a recursos, privilegios. • Perfiles de usuario: Administrador, usuario básico. • Tipos de acceso a los datos: ro, rw. • Acciones sobre el sistema: Configuración, Inicio/parada servicios • Modos de autenticación: Passwords, Tokens, Biométricos. ¿Desarrollamos aplicaciones seguras? 7. Tendencia actual
Seguridad en el diseño Buenas prácticas para el diseño de una aplicación segura: • Reducción de la superficie de ataque • Criterio del menor privilegio • Diseño seguro de los mensajes de error • Diseño seguro de la autenticación • Separación de privilegios • Interacción “amigable” con Firewalls e IDS's. • Administración segura información “sensible” • Diseño de Auditoría y Logging • Análisis de riesgo ¿Desarrollamos aplicaciones seguras? 7. Tendencia actual
Seguridad en la codificación Tipos de vulnerabilidades mas habituales: • Stack buffer overflows • Heap buffer overflows • SQL Injections • Cross Site Scripting (XSS) • Directory Traversal • Authentication Bypass • Information Disclosure • Escalamiento de privilegios • Manejo inseguro de sesiones • Denegación de servicio ¿Desarrollamos aplicaciones seguras? 7. Tendencia actual
Técnicas de testing de seguridad Testing Funcional (clásico) aplicado a las funcionalidades de seguridad de una aplicación: • Requerimientos de autenticación • Requerimientos de complejidad de contraseñas • Bloqueo automático de cuentas • Funcionalidad de captchas • Restricciones de acceso. • Mecanismos de registro y logging • Mensajes de error especificados ¿Desarrollamos aplicaciones seguras? 7. Tendencia actual
Seguridad en la implementación (deployment) Si no se implementa la aplicación de forma segura, se arruinan los esfuerzos de las etapas anteriores: • Hardening de software de base • Servicios innecesarios • Usuarios y contraseñas “por defecto” • Configuración de intérpretes • Proceso de implementación • Separación de ambientes • Administración de implementación y mantenimiento • Versiones y “Parches” • Firma de código ¿Desarrollamos aplicaciones seguras? 7. Tendencia actual
• ISO/IEC 21827:2008, Information technology – Security techniques https://www.iso.org/standard/44716.html • Software Assurance Maturity Model http://www.opensamm.org/ • SEI CERT Coding Standards https://www.securecoding.cert.org/confluence/display/seccode/SEI+CERT+ Coding+Standards • Java Coding Guidelines https://www.securecoding.cert.org/confluence/display/java/Java+Coding+Gu idelines • Secure Coding Guidelines, .NET Framework https://msdn.microsoft.com/en-us/library/d55zzx87(v=vs.90).aspx ¿Desarrollamos aplicaciones seguras? 8. ¿Dónde busco información?
• Integrando seguridad a lo largo de todas las etapas del SLDC se ahorra tiempo y dinero. • La tendencia actual es que SI participe desde el principio de los proyectos de desarrollo. • La mayoría de las vulnerabilidades no se deben a errores de codificación, sino a defectos de diseño. • Existen buenas prácticas y técnicas específicas para insertar seguridad en cada etapa del SDLC. ¿Desarrollamos aplicaciones seguras? 9. Conclusiones
¿Preguntas? ¿Desarrollamos aplicaciones seguras?

Recomendados

Seguridad en la ingeniería de software
Seguridad en la ingeniería de software Seguridad en la ingeniería de software
Seguridad en la ingeniería de software kratosVA
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?Meztli Valeriano Orozco
 
Informe Campus Party 2013
Informe Campus Party 2013Informe Campus Party 2013
Informe Campus Party 2013Carolina Remache
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaUPTM
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de SeguridadDarwin Mavares
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNJorge Skorey
 
Seguridad lógica
Seguridad lógicaSeguridad lógica
Seguridad lógicatecnodelainfo
 

Recomendados

Seguridad en la ingeniería de software
Seguridad en la ingeniería de software Seguridad en la ingeniería de software
Seguridad en la ingeniería de software kratosVA
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?Meztli Valeriano Orozco
 
Informe Campus Party 2013
Informe Campus Party 2013Informe Campus Party 2013
Informe Campus Party 2013Carolina Remache
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaUPTM
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de SeguridadDarwin Mavares
 
Seguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNSeguridad Informatica En Los Sistemas De InformacióN
Seguridad Informatica En Los Sistemas De InformacióNJorge Skorey
 
Seguridad lógica
Seguridad lógicaSeguridad lógica
Seguridad lógicatecnodelainfo
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionnyzapersa
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Webinar: Ciberseguridad en los sistemas industriales
Webinar: Ciberseguridad en los sistemas industrialesWebinar: Ciberseguridad en los sistemas industriales
Webinar: Ciberseguridad en los sistemas industrialesTGS
 
Isec presentacion agesic_2009_martin_vila_julio_balderrama
Isec presentacion agesic_2009_martin_vila_julio_balderramaIsec presentacion agesic_2009_martin_vila_julio_balderrama
Isec presentacion agesic_2009_martin_vila_julio_balderramaCarlos Montañez
 
Cómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadCómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadTGS
 
Principio de seguridad informática
Principio de seguridad informáticaPrincipio de seguridad informática
Principio de seguridad informáticaJOSE BABILONIA
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticajemarinoi
 
Sena Actividad 2 3
Sena Actividad 2 3Sena Actividad 2 3
Sena Actividad 2 3Andrea Ramirez
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaErnesto Herrera
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisicaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Jack Daniel Cáceres Meza
 
Vulnerabilidades Clase 02
Vulnerabilidades Clase 02Vulnerabilidades Clase 02
Vulnerabilidades Clase 02Alex Avila
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
9-Unidad 2: Tecnologías y Tendencias de Sistemas de Información-2.5 Tendencia...
9-Unidad 2: Tecnologías y Tendencias de Sistemas de Información-2.5 Tendencia...9-Unidad 2: Tecnologías y Tendencias de Sistemas de Información-2.5 Tendencia...
9-Unidad 2: Tecnologías y Tendencias de Sistemas de Información-2.5 Tendencia...Luis Fernando Aguas Bucheli
 
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOLA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOTavo Adame
 
Jose muñoz
Jose muñozJose muñoz
Jose muñozAngelica Daza
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logicaIng. LucioJAP
 
Auditoria deseguridad
Auditoria deseguridadAuditoria deseguridad
Auditoria deseguridadleodaniel51
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadJosé Antonio Sandoval Acosta
 

Más contenido relacionado

La actualidad más candente

Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionnyzapersa
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Webinar: Ciberseguridad en los sistemas industriales
Webinar: Ciberseguridad en los sistemas industrialesWebinar: Ciberseguridad en los sistemas industriales
Webinar: Ciberseguridad en los sistemas industrialesTGS
 
Isec presentacion agesic_2009_martin_vila_julio_balderrama
Isec presentacion agesic_2009_martin_vila_julio_balderramaIsec presentacion agesic_2009_martin_vila_julio_balderrama
Isec presentacion agesic_2009_martin_vila_julio_balderramaCarlos Montañez
 
Cómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadCómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadTGS
 
Principio de seguridad informática
Principio de seguridad informáticaPrincipio de seguridad informática
Principio de seguridad informáticaJOSE BABILONIA
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticajemarinoi
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Jack Daniel Cáceres Meza
 
Vulnerabilidades Clase 02
Vulnerabilidades Clase 02Vulnerabilidades Clase 02
Vulnerabilidades Clase 02Alex Avila
 
9-Unidad 2: Tecnologías y Tendencias de Sistemas de Información-2.5 Tendencia...
9-Unidad 2: Tecnologías y Tendencias de Sistemas de Información-2.5 Tendencia...9-Unidad 2: Tecnologías y Tendencias de Sistemas de Información-2.5 Tendencia...
9-Unidad 2: Tecnologías y Tendencias de Sistemas de Información-2.5 Tendencia...Luis Fernando Aguas Bucheli
 
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOLA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOTavo Adame
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logicaIng. LucioJAP
 
Auditoria deseguridad
Auditoria deseguridadAuditoria deseguridad
Auditoria deseguridadleodaniel51
 

La actualidad más candente (20)

Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacion
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
 
Webinar: Ciberseguridad en los sistemas industriales
Webinar: Ciberseguridad en los sistemas industrialesWebinar: Ciberseguridad en los sistemas industriales
Webinar: Ciberseguridad en los sistemas industriales
 
Isec presentacion agesic_2009_martin_vila_julio_balderrama
Isec presentacion agesic_2009_martin_vila_julio_balderramaIsec presentacion agesic_2009_martin_vila_julio_balderrama
Isec presentacion agesic_2009_martin_vila_julio_balderrama
 
Cómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadCómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridad
 
Principio de seguridad informática
Principio de seguridad informáticaPrincipio de seguridad informática
Principio de seguridad informática
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Sena Actividad 2 3
Sena Actividad 2 3Sena Actividad 2 3
Sena Actividad 2 3
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
 
Vulnerabilidades Clase 02
Vulnerabilidades Clase 02Vulnerabilidades Clase 02
Vulnerabilidades Clase 02
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
9-Unidad 2: Tecnologías y Tendencias de Sistemas de Información-2.5 Tendencia...
9-Unidad 2: Tecnologías y Tendencias de Sistemas de Información-2.5 Tendencia...9-Unidad 2: Tecnologías y Tendencias de Sistemas de Información-2.5 Tendencia...
9-Unidad 2: Tecnologías y Tendencias de Sistemas de Información-2.5 Tendencia...
 
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTOLA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
LA SEGURIDAD INFORMATICA EN EL EQUIPO DE COMPUTO
 
Jose muñoz
Jose muñozJose muñoz
Jose muñoz
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
 
Auditoria deseguridad
Auditoria deseguridadAuditoria deseguridad
Auditoria deseguridad
 

Similar a Aplicaciones seguras

Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...eccutpl
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLCRoger CARHUATOCTO
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareConferencias FIST
 
Medidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasMedidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasHéctor López
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacioncautio
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetraciónJSACTMMusic
 
Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Gabriel Marcos
 
SEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICANallely2017
 
Creando un programa de seguridad informatica
Creando un programa de seguridad informaticaCreando un programa de seguridad informatica
Creando un programa de seguridad informaticaPedro Colmenares
 
Clase 1
Clase 1Clase 1
Clase 1UPTM
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Enrique Gustavo Dutra
 
Seguridad de los sistemas operativos..pptx
Seguridad de los sistemas operativos..pptxSeguridad de los sistemas operativos..pptx
Seguridad de los sistemas operativos..pptxdayanelismarquez
 

Similar a Aplicaciones seguras (20)

Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
Ingenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridadIngenieria de software - Unidad 4 seguridad
Ingenieria de software - Unidad 4 seguridad
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 
Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
 
A3APSeguridad_soft_vision
A3APSeguridad_soft_visionA3APSeguridad_soft_vision
A3APSeguridad_soft_vision
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLC
 
Expo
ExpoExpo
Expo
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de Software
 
Medidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresasMedidas básicas de seguridad informática para empresas
Medidas básicas de seguridad informática para empresas
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacion
 
Test de penetración
Test de penetraciónTest de penetración
Test de penetración
 
Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)
 
SEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICA
 
Creando un programa de seguridad informatica
Creando un programa de seguridad informaticaCreando un programa de seguridad informatica
Creando un programa de seguridad informatica
 
Clase 1
Clase 1Clase 1
Clase 1
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
 
Seguridad de los sistemas operativos..pptx
Seguridad de los sistemas operativos..pptxSeguridad de los sistemas operativos..pptx
Seguridad de los sistemas operativos..pptx
 
S2 cdsi1
S2 cdsi1S2 cdsi1
S2 cdsi1
 

Más de Universidad Cenfotec

QUÉ DEBO SABER SOBRE LA NUEVA VERSIÓN DE ITIL®
QUÉ DEBO SABER SOBRE LA NUEVA VERSIÓN DE ITIL®QUÉ DEBO SABER SOBRE LA NUEVA VERSIÓN DE ITIL®
QUÉ DEBO SABER SOBRE LA NUEVA VERSIÓN DE ITIL®Universidad Cenfotec
 
Día de la ciberseguridad en UCenfotec expo 4
Día de la ciberseguridad en UCenfotec expo 4Día de la ciberseguridad en UCenfotec expo 4
Día de la ciberseguridad en UCenfotec expo 4Universidad Cenfotec
 
Día de la ciberseguridad en UCenfotec expo 3
Día de la ciberseguridad en UCenfotec expo 3Día de la ciberseguridad en UCenfotec expo 3
Día de la ciberseguridad en UCenfotec expo 3Universidad Cenfotec
 
Día de la ciberseguridad en UCenfotec expo 1
Día de la ciberseguridad en UCenfotec expo 1Día de la ciberseguridad en UCenfotec expo 1
Día de la ciberseguridad en UCenfotec expo 1Universidad Cenfotec
 
Día de la ciberseguridad en UCenfotec expo 2
Día de la ciberseguridad en UCenfotec expo 2Día de la ciberseguridad en UCenfotec expo 2
Día de la ciberseguridad en UCenfotec expo 2Universidad Cenfotec
 
Material de apoyo Un replanteamiento masivo de la seguridad.
Material de apoyo Un replanteamiento masivo de la seguridad.Material de apoyo Un replanteamiento masivo de la seguridad.
Material de apoyo Un replanteamiento masivo de la seguridad.Universidad Cenfotec
 
Buenas prácticas en Ciberseguridad
Buenas prácticas en CiberseguridadBuenas prácticas en Ciberseguridad
Buenas prácticas en CiberseguridadUniversidad Cenfotec
 
Charla 1.1 de la serie de conferencias de Fintech- Expositor Ernesto Leal
Charla 1.1 de la serie de conferencias de Fintech- Expositor Ernesto LealCharla 1.1 de la serie de conferencias de Fintech- Expositor Ernesto Leal
Charla 1.1 de la serie de conferencias de Fintech- Expositor Ernesto LealUniversidad Cenfotec
 
Charla 1.2 de la serie de conferencias de Fintech- Expositor Marvin Soto
Charla 1.2 de la serie de conferencias de Fintech- Expositor Marvin Soto Charla 1.2 de la serie de conferencias de Fintech- Expositor Marvin Soto
Charla 1.2 de la serie de conferencias de Fintech- Expositor Marvin Soto Universidad Cenfotec
 
La mujer en el papel de la ciberseguridad
La mujer en el papel de la ciberseguridadLa mujer en el papel de la ciberseguridad
La mujer en el papel de la ciberseguridadUniversidad Cenfotec
 
Los WiFi públicos ¿son un peligro potencial?
Los WiFi públicos ¿son un peligro potencial?Los WiFi públicos ¿son un peligro potencial?
Los WiFi públicos ¿son un peligro potencial?Universidad Cenfotec
 

Más de Universidad Cenfotec (20)

La importancia de los datos
La importancia de los datos La importancia de los datos
La importancia de los datos
 
¿Por qué no me funciona SCRUM?
¿Por qué no me funciona SCRUM?¿Por qué no me funciona SCRUM?
¿Por qué no me funciona SCRUM?
 
linux y certificaciones
linux y certificacioneslinux y certificaciones
linux y certificaciones
 
Charla visualizacion de datos
Charla visualizacion de datosCharla visualizacion de datos
Charla visualizacion de datos
 
QUÉ DEBO SABER SOBRE LA NUEVA VERSIÓN DE ITIL®
QUÉ DEBO SABER SOBRE LA NUEVA VERSIÓN DE ITIL®QUÉ DEBO SABER SOBRE LA NUEVA VERSIÓN DE ITIL®
QUÉ DEBO SABER SOBRE LA NUEVA VERSIÓN DE ITIL®
 
Día de la ciberseguridad en UCenfotec expo 4
Día de la ciberseguridad en UCenfotec expo 4Día de la ciberseguridad en UCenfotec expo 4
Día de la ciberseguridad en UCenfotec expo 4
 
Día de la ciberseguridad en UCenfotec expo 3
Día de la ciberseguridad en UCenfotec expo 3Día de la ciberseguridad en UCenfotec expo 3
Día de la ciberseguridad en UCenfotec expo 3
 
Día de la ciberseguridad en UCenfotec expo 1
Día de la ciberseguridad en UCenfotec expo 1Día de la ciberseguridad en UCenfotec expo 1
Día de la ciberseguridad en UCenfotec expo 1
 
Día de la ciberseguridad en UCenfotec expo 2
Día de la ciberseguridad en UCenfotec expo 2Día de la ciberseguridad en UCenfotec expo 2
Día de la ciberseguridad en UCenfotec expo 2
 
Criptomonedas
Criptomonedas Criptomonedas
Criptomonedas
 
Material de apoyo Un replanteamiento masivo de la seguridad.
Material de apoyo Un replanteamiento masivo de la seguridad.Material de apoyo Un replanteamiento masivo de la seguridad.
Material de apoyo Un replanteamiento masivo de la seguridad.
 
Buenas prácticas en Ciberseguridad
Buenas prácticas en CiberseguridadBuenas prácticas en Ciberseguridad
Buenas prácticas en Ciberseguridad
 
Charla 1.1 de la serie de conferencias de Fintech- Expositor Ernesto Leal
Charla 1.1 de la serie de conferencias de Fintech- Expositor Ernesto LealCharla 1.1 de la serie de conferencias de Fintech- Expositor Ernesto Leal
Charla 1.1 de la serie de conferencias de Fintech- Expositor Ernesto Leal
 
Charla 1.2 de la serie de conferencias de Fintech- Expositor Marvin Soto
Charla 1.2 de la serie de conferencias de Fintech- Expositor Marvin Soto Charla 1.2 de la serie de conferencias de Fintech- Expositor Marvin Soto
Charla 1.2 de la serie de conferencias de Fintech- Expositor Marvin Soto
 
Soc en el mundo
Soc en el mundoSoc en el mundo
Soc en el mundo
 
La mujer en el papel de la ciberseguridad
La mujer en el papel de la ciberseguridadLa mujer en el papel de la ciberseguridad
La mujer en el papel de la ciberseguridad
 
Open source and Security
Open source and SecurityOpen source and Security
Open source and Security
 
Los WiFi públicos ¿son un peligro potencial?
Los WiFi públicos ¿son un peligro potencial?Los WiFi públicos ¿son un peligro potencial?
Los WiFi públicos ¿son un peligro potencial?
 
4 técnicas para estudiar
4 técnicas para estudiar4 técnicas para estudiar
4 técnicas para estudiar
 
Ciudades Inteligentes
Ciudades InteligentesCiudades Inteligentes
Ciudades Inteligentes
 

Último

Introducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTERIntroducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTEREMMAFLORESCARMONA
 
Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200Opentix
 
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...ITeC Instituto Tecnología Construcción
 
Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3AlexysCaytanoMelndez1
 
Manual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdfManual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdfmasogeis
 
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLOPARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLOSelenaCoronadoHuaman
 
Unidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacionUnidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacionarmando_cardenas
 

Último (7)

Introducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTERIntroducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTER
 
Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200
 
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
 
Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3
 
Manual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdfManual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdf
 
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLOPARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
 
Unidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacionUnidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacion
 

Aplicaciones seguras

  • 1. Aplicaciones Seguras Juan Matías Matías aka: jUaNIX jmatias@ucenfotec.ac.cr San José, Costa Rica, 2017
  • 2. Algo sobre mí ... Juan Matías • Ingeniería de Sistemas [1] (UNI – Perú) • Informática Administrativa (UNED – Costa Rica) • Maestría Innovación Educativa (UNITEC – México) • Mas de 20 años de experiencia en TIC’s • Estudios y experiencia de campo en Ciberseguridad • Profesor en Cenfotec desde el 2003 [1] La ingeniería de sistemas es un modo de enfoque interdisciplinario que permite estudiar y comprender la realidad, con el propósito de implementar u optimizar sistemas complejos Los ingenieros de sistemas tratan con sistemas abstractos y confían en otras disciplinas (matemáticas y física) para diseñar y entregar los productos tangibles que son la realización de esos sistemas. Fuente: Wikipedia
  • 3. 1. Introducción Algunas frases iniciales: • ¿Estamos seguros?, Por ejemplo, camino a casa. • O, sabemos ¿que es seguridad? Policías, guardas privados, cercas, etc. • ¿Que hacemos con nuestras vidas? Tenemos temor de muchas cosas. • ¿Lo aplicamos en el trabajo? Dejamos muchas cosas al libre albedrío (a la suerte) ¿Desarrollamos aplicaciones seguras?
  • 4. 2. ¿Qué es seguridad? Según la Real Academia de la Lengua - RAE [1] : Seguridad: Cualidad de seguro. Seguro: Libre y exento de todo peligro, daño o riesgo. ... según estas definiciones, seguridad informática es “sistema informático exento de peligro”[1] www.rae.es ¿Desarrollamos aplicaciones seguras?
  • 5. 3. Seguridad Informática Podríamos definir seguridad informática como: “Un conjunto de métodos y herramientas destinados a proteger la información y los sistemas informáticos ante cualquier amenaza, es un proceso en el cual participan, además, personas.” Por lo tanto: Es de suma importancia el concientizar a las personas de su importancia. ¿Desarrollamos aplicaciones seguras?
  • 6. 3. Seguridad Informática La seguridad informática no se refiere a la seguridad de los sistemas informáticos en si mismos, sino, a la protección de los datos que ellos contienen. La seguridad informática no es un bien medible, pero, a cambio, podríamos desarrollar diversas herramientas para cuantificar de alguna forma nuestra inseguridad informática. ¿Desarrollamos aplicaciones seguras?
  • 7. El Proceso de desarrollo Actualmente la mayoría de los procesos de desarrollo no incluyen seguridad, o bien la incluyen al final, en la etapa de testing. ¡Seguridad vs Funcionalidad! ¿Calidad != Seguridad? El costo de solucionar las vulnerabilidades es mayor cuanto más tarde se detectan las mismas (igual que los bugs). ¿Desarrollamos aplicaciones seguras? 4. Aplicaciones Seguras
  • 8. Algunos puntos a considerar:  Poca participación y compromiso de los usuarios.  Requerimientos incompletos.  Cambio de losrequerimientos.  Falta de soporte de la dirección.  Incompetencia tecnológica.  Falta de recursos.  Expectativas engañosas.  Objetivos poco claros.  Cronogramas irreales.  Nuevas tecnologías. ¿Desarrollamos aplicaciones seguras? 5. ¿Por qué fracasan los proyectos de SW?
  • 9. Seguridad en el ciclo de vida del desarrollo de sw • La seguridad de la aplicación es responsabilidad del programador. • Nadie sabe cómo funciona, no nos van a atacar. • No se encontraron vulnerabilidades hasta ahora. • A nadie le interesaría atacar nuestra aplicación. • La aplicación es segura porque corre detrás de un firewall. • La aplicación es segura porque usa enciptamiento. • Sólo corre como Administrator/root. • Esa funcionalidad (insegura) viene habilitada “por defecto”, pero el Administrador la puede deshabilitar. • No hay tiempo para incluir seguridad. ¿Desarrollamos aplicaciones seguras? 6. Mitos y excusas
  • 10. Seguridad Informática desde el inicio del proyecto Incorporar seguridad a lo largo de todas las etapas del ciclo de vida del desarrollo de software (SDLC [1] ). • Análisis • Diseño • Codificación • Testing • Implementación [1] Systems Development Life Cycle ¿Desarrollamos aplicaciones seguras? 7. Tendencia actual
  • 11. Seguridad en el análisis de requerimientos En esta etapa se identifican características que derivarán en los requerimientos de seguridad del software: • Arquitectura de la aplicación: Cliente/servidor o Desktop • Plataforma donde correrá la aplicación: PC/Disp. Móvil. • Tipos de datos (almacenan/transfieren): Privados/ públicos. • Tipos de registro (log): Acceso a recursos, privilegios. • Perfiles de usuario: Administrador, usuario básico. • Tipos de acceso a los datos: ro, rw. • Acciones sobre el sistema: Configuración, Inicio/parada servicios • Modos de autenticación: Passwords, Tokens, Biométricos. ¿Desarrollamos aplicaciones seguras? 7. Tendencia actual
  • 12. Seguridad en el diseño Buenas prácticas para el diseño de una aplicación segura: • Reducción de la superficie de ataque • Criterio del menor privilegio • Diseño seguro de los mensajes de error • Diseño seguro de la autenticación • Separación de privilegios • Interacción “amigable” con Firewalls e IDS's. • Administración segura información “sensible” • Diseño de Auditoría y Logging • Análisis de riesgo ¿Desarrollamos aplicaciones seguras? 7. Tendencia actual
  • 13. Seguridad en la codificación Tipos de vulnerabilidades mas habituales: • Stack buffer overflows • Heap buffer overflows • SQL Injections • Cross Site Scripting (XSS) • Directory Traversal • Authentication Bypass • Information Disclosure • Escalamiento de privilegios • Manejo inseguro de sesiones • Denegación de servicio ¿Desarrollamos aplicaciones seguras? 7. Tendencia actual
  • 14. Técnicas de testing de seguridad Testing Funcional (clásico) aplicado a las funcionalidades de seguridad de una aplicación: • Requerimientos de autenticación • Requerimientos de complejidad de contraseñas • Bloqueo automático de cuentas • Funcionalidad de captchas • Restricciones de acceso. • Mecanismos de registro y logging • Mensajes de error especificados ¿Desarrollamos aplicaciones seguras? 7. Tendencia actual
  • 15. Seguridad en la implementación (deployment) Si no se implementa la aplicación de forma segura, se arruinan los esfuerzos de las etapas anteriores: • Hardening de software de base • Servicios innecesarios • Usuarios y contraseñas “por defecto” • Configuración de intérpretes • Proceso de implementación • Separación de ambientes • Administración de implementación y mantenimiento • Versiones y “Parches” • Firma de código ¿Desarrollamos aplicaciones seguras? 7. Tendencia actual
  • 16. • ISO/IEC 21827:2008, Information technology – Security techniques https://www.iso.org/standard/44716.html • Software Assurance Maturity Model http://www.opensamm.org/ • SEI CERT Coding Standards https://www.securecoding.cert.org/confluence/display/seccode/SEI+CERT+ Coding+Standards • Java Coding Guidelines https://www.securecoding.cert.org/confluence/display/java/Java+Coding+Gu idelines • Secure Coding Guidelines, .NET Framework https://msdn.microsoft.com/en-us/library/d55zzx87(v=vs.90).aspx ¿Desarrollamos aplicaciones seguras? 8. ¿Dónde busco información?
  • 17. • Integrando seguridad a lo largo de todas las etapas del SLDC se ahorra tiempo y dinero. • La tendencia actual es que SI participe desde el principio de los proyectos de desarrollo. • La mayoría de las vulnerabilidades no se deben a errores de codificación, sino a defectos de diseño. • Existen buenas prácticas y técnicas específicas para insertar seguridad en cada etapa del SDLC. ¿Desarrollamos aplicaciones seguras? 9. Conclusiones