Proyecto Top 10 de OWASP
La charla hace un pequeño recorrido sobre la evolución de la Web, la Seguridad informática dentro de la Web y el proyecto OWASP para luego desembocar en el OWASP Top Ten y ahí nos detenemos.
Desde ahí en adelante nos centralizamos en los 10 riesgos de seguridad más importantes en aplicaciones web.
Se va a explicar una por una su descripción, funcionamiento, su impacto y qué medidas tomar para prevenirlo.
A parte de todo eso se mostrará en vivo algunas de ellas para poder ver y darse cuenta cuando un sitio es vulnerable.
La prueba se hará mediante una máquina virtual levantando una web vulnerable preparada por OWASP para practicar este tipo de testing.
Terminando con recomendaciones y links para consultar todo lo dado.
Expositor: Juan Pablo Soto
In this session I will present best practices of how open source tools (used in the DevOps and security communities) can be properly chained together to form a framework that can - as part of an agile software development CI chain - perform automated checking of certain security aspects. This does not remove the requirement for manual pentests, but tries to automate early security feedback to developers.
Based on my experience of applying SecDevOps techniques to projects, I will present the glue steps required on every commit and at nightly builds to achieve different levels of depth in automated security testing during the CI workflow.
I will conclude with a "SecDevOps Maturity Model" of different stages of automated security testing and present concrete examples of how to achieve each stage with open source security tools.
[DevSecOps Live] DevSecOps: Challenges and OpportunitiesMohammed A. Imran
In this Practical DevSecOps's DevSecOps Live online meetup, you’ll learn DevSecOps Challenges and Opportunities.
Join Mohan Yelnadu, head of application security at Prudential Insurance on his DevSecOps Journey.
He will cover DevSecOps challenges he has faced and how he converted them into opportunities.
He will cover the following as part of the session.
DevSecOps Challenges.
DevSecOps Opportunities.
Converting Challenges into Opportunities.
Quick wins and lessons learned.
… and more useful takeaways!
Here is the small presentation on DevOps to DevSecOps Journey..
- What is DevOps and their best practices.
- Practical Scenario of DevOps practices.
- DevOps transformation Journey.
- Transition to DevSecOps and why we need it.
- Enterprise CI/CD Pipeline.
An introduction to the devsecops webinar will be presented by me at 10.30am EST on 29th July,2018. It's a session focussed on high level overview of devsecops which will be followed by intermediate and advanced level sessions in future.
Agenda:
-DevSecOps Introduction
-Key Challenges, Recommendations
-DevSecOps Analysis
-DevSecOps Core Practices
-DevSecOps pipeline for Application & Infrastructure Security
-DevSecOps Security Tools Selection Tips
-DevSecOps Implementation Strategy
-DevSecOps Final Checklist
Security Testing with OWASP ZAP in CI/CD - Simon Bennetts - Codemotion Amster...Codemotion
The OWASP Zed Attack Proxy (ZAP) is one of the world’s most popular and best maintained free and open source security tools. This talk by the ZAP project lead will focus on embedding ZAP in continuous integration / delivery pipelines in order to automate security tests. Simon will cover the range of integration options available and explain how ZAP is being integrated into the Mozilla Cloud Services CD pipeline. He will also explain and demonstrate how to drive the ZAP API, which gives complete control over the ZAP daemon.
In this session I will present best practices of how open source tools (used in the DevOps and security communities) can be properly chained together to form a framework that can - as part of an agile software development CI chain - perform automated checking of certain security aspects. This does not remove the requirement for manual pentests, but tries to automate early security feedback to developers.
Based on my experience of applying SecDevOps techniques to projects, I will present the glue steps required on every commit and at nightly builds to achieve different levels of depth in automated security testing during the CI workflow.
I will conclude with a "SecDevOps Maturity Model" of different stages of automated security testing and present concrete examples of how to achieve each stage with open source security tools.
[DevSecOps Live] DevSecOps: Challenges and OpportunitiesMohammed A. Imran
In this Practical DevSecOps's DevSecOps Live online meetup, you’ll learn DevSecOps Challenges and Opportunities.
Join Mohan Yelnadu, head of application security at Prudential Insurance on his DevSecOps Journey.
He will cover DevSecOps challenges he has faced and how he converted them into opportunities.
He will cover the following as part of the session.
DevSecOps Challenges.
DevSecOps Opportunities.
Converting Challenges into Opportunities.
Quick wins and lessons learned.
… and more useful takeaways!
Here is the small presentation on DevOps to DevSecOps Journey..
- What is DevOps and their best practices.
- Practical Scenario of DevOps practices.
- DevOps transformation Journey.
- Transition to DevSecOps and why we need it.
- Enterprise CI/CD Pipeline.
An introduction to the devsecops webinar will be presented by me at 10.30am EST on 29th July,2018. It's a session focussed on high level overview of devsecops which will be followed by intermediate and advanced level sessions in future.
Agenda:
-DevSecOps Introduction
-Key Challenges, Recommendations
-DevSecOps Analysis
-DevSecOps Core Practices
-DevSecOps pipeline for Application & Infrastructure Security
-DevSecOps Security Tools Selection Tips
-DevSecOps Implementation Strategy
-DevSecOps Final Checklist
Security Testing with OWASP ZAP in CI/CD - Simon Bennetts - Codemotion Amster...Codemotion
The OWASP Zed Attack Proxy (ZAP) is one of the world’s most popular and best maintained free and open source security tools. This talk by the ZAP project lead will focus on embedding ZAP in continuous integration / delivery pipelines in order to automate security tests. Simon will cover the range of integration options available and explain how ZAP is being integrated into the Mozilla Cloud Services CD pipeline. He will also explain and demonstrate how to drive the ZAP API, which gives complete control over the ZAP daemon.
YouTube Link: https://youtu.be/h8uM4mezyHU
** DevOps Certification Courses - https://www.edureka.co/devops-certification-courses** This Edureka PPT on ‘DevOps Real-Time Scenarios’ will discuss the various real-time Challenges that you encounter while adopting or implementing DevOps practices.
Follow us to never miss an update in the future.
YouTube: https://www.youtube.com/user/edurekaIN
Instagram: https://www.instagram.com/edureka_learning/
Facebook: https://www.facebook.com/edurekaIN/
Twitter: https://twitter.com/edurekain
LinkedIn: https://www.linkedin.com/company/edureka
Castbox: https://castbox.fm/networks/505?country=in
Security will always be our top priority. Agile deployment methods require a set of dynamic built-in security controls that keep pace with innovation and scale. In this session we will utilise the power of automation with the AWS platform to increase the agility of developers while maintaining a strong security posture.
Speaker: David Faulkner, Senior Technical Account Manager, Amazon Web Services
Link to Youtube video: https://youtu.be/-awH_CC4DLo
You can contact me at abhimanyu.bhogwan@gmail.com
My linkdin id : https://www.linkedin.com/in/abhimanyu-bhogwan-cissp-ctprp-98978437/
Basic Introduction to DevSecOps concept
Why What and How for DevSecOps
Basic intro for Threat Modeling
Basic Intro for Security Champions
3 pillars of DevSecOps
6 important components of a DevSecOps approach
DevSecOps Security Best Practices
How to integrate security in CI/CD pipeline
Security best practices the well-architected way - SDD318 - AWS re:Inforce 2019 Amazon Web Services
As you continually evolve your use of the AWS platform, it’s important to consider ways to improve your security posture and take advantage of new security services and features. In this advanced session, we share architectural patterns for meeting common challenges, service limits and tips, tricks, and ways to continually evaluate your architecture against best practices. Automation and tools are featured throughout, and there will be code giveaways! Be prepared for a technically deep session on AWS security.
Sensitive customer data needs to be protected throughout AWS. This session discusses the options available for encrypting data at rest in AWS. It focuses on several scenarios, including transparent AWS management of encryption keys on behalf of the customer to provide automated server-side encryption and customer key management using partner solutions or AWS CloudHSM. This session is helpful for anyone interested in protecting data stored in AWS.
Provides a brief overview of Cloud Custodian (an open-source project by Capital One) and covers the benefits around Cost Savings, Compliance and Security, and Speed of Delivery. Several example policies provided for each. Check out my github for lots more examples and Cloud Custodian scripts - https://github.com/jtroberts83/Cloud-Custodian
40 DevSecOps Reference Architectures for you. See what tools your peers are using to scale DevSecOps and how enterprises are automating security into their DevOps pipeline. Learn what DevSecOps tools and integrations others are deploying in 2019 and where your choices stack up as you consider shifting security left.
Introducing Managed Rules for AWS WAF (with a Customer Story) - AWS Online Te...Amazon Web Services
Learning Objectives:
- Get an inside look into Managed Rules for AWS WAF
- Learn how to set up Managed Rules for AWS WAF and the best practices
- Learn about the security experts that offer Managed Rules for AWS WAF
YouTube Link: https://youtu.be/h8uM4mezyHU
** DevOps Certification Courses - https://www.edureka.co/devops-certification-courses** This Edureka PPT on ‘DevOps Real-Time Scenarios’ will discuss the various real-time Challenges that you encounter while adopting or implementing DevOps practices.
Follow us to never miss an update in the future.
YouTube: https://www.youtube.com/user/edurekaIN
Instagram: https://www.instagram.com/edureka_learning/
Facebook: https://www.facebook.com/edurekaIN/
Twitter: https://twitter.com/edurekain
LinkedIn: https://www.linkedin.com/company/edureka
Castbox: https://castbox.fm/networks/505?country=in
Security will always be our top priority. Agile deployment methods require a set of dynamic built-in security controls that keep pace with innovation and scale. In this session we will utilise the power of automation with the AWS platform to increase the agility of developers while maintaining a strong security posture.
Speaker: David Faulkner, Senior Technical Account Manager, Amazon Web Services
Link to Youtube video: https://youtu.be/-awH_CC4DLo
You can contact me at abhimanyu.bhogwan@gmail.com
My linkdin id : https://www.linkedin.com/in/abhimanyu-bhogwan-cissp-ctprp-98978437/
Basic Introduction to DevSecOps concept
Why What and How for DevSecOps
Basic intro for Threat Modeling
Basic Intro for Security Champions
3 pillars of DevSecOps
6 important components of a DevSecOps approach
DevSecOps Security Best Practices
How to integrate security in CI/CD pipeline
Security best practices the well-architected way - SDD318 - AWS re:Inforce 2019 Amazon Web Services
As you continually evolve your use of the AWS platform, it’s important to consider ways to improve your security posture and take advantage of new security services and features. In this advanced session, we share architectural patterns for meeting common challenges, service limits and tips, tricks, and ways to continually evaluate your architecture against best practices. Automation and tools are featured throughout, and there will be code giveaways! Be prepared for a technically deep session on AWS security.
Sensitive customer data needs to be protected throughout AWS. This session discusses the options available for encrypting data at rest in AWS. It focuses on several scenarios, including transparent AWS management of encryption keys on behalf of the customer to provide automated server-side encryption and customer key management using partner solutions or AWS CloudHSM. This session is helpful for anyone interested in protecting data stored in AWS.
Provides a brief overview of Cloud Custodian (an open-source project by Capital One) and covers the benefits around Cost Savings, Compliance and Security, and Speed of Delivery. Several example policies provided for each. Check out my github for lots more examples and Cloud Custodian scripts - https://github.com/jtroberts83/Cloud-Custodian
40 DevSecOps Reference Architectures for you. See what tools your peers are using to scale DevSecOps and how enterprises are automating security into their DevOps pipeline. Learn what DevSecOps tools and integrations others are deploying in 2019 and where your choices stack up as you consider shifting security left.
Introducing Managed Rules for AWS WAF (with a Customer Story) - AWS Online Te...Amazon Web Services
Learning Objectives:
- Get an inside look into Managed Rules for AWS WAF
- Learn how to set up Managed Rules for AWS WAF and the best practices
- Learn about the security experts that offer Managed Rules for AWS WAF
Construir software seguro siempre debería haber sido una necesidad en cualquier proyecto de desarrollo y los requerimientos de seguridad deberían haber sido contemplados con la misma prioridad que los requerimientos funcionales. La presentación expone, entre otros muchos temas, recursos de OWASP y cómo pueden ayudarnos para la consecución de nuestro objetivo: la creación de software seguro.
VI Foro de Seguridad de RedIRIS que se focalizó en la seguridad a nivel de aplicación. En esta ocasión, se impartió la conferencia "OWASP y su aportación a la comunidad internacional. Seguridad en las relaciones de confianza.".
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...Internet Security Auditors
Presentación sobre el Top 10 de Riesgos en Aplicaciones Web de Vicente Aguilera dentro del congreso ADWYS CON 11. La presentación desarrolló las 10 amenazas más frecuentes para la Seguridad de las Aplicaciones Web e incluyó una demostración práctica de una vulnerabilidad del sistema de autenticación de Gmail.
Expositor: Pablo Alzuri
Resumen:
Desarrollar con una herramienta basada en modelos tiene varias ventajas. La generación de código a partir de una especificación, transfiere la responsabilidad de la codificación segura en el lenguaje de generación a la herramienta. Esto trae una pregunta… ¿GeneXus hace todo para que mi sistema sea seguro? ¿Tengo que preocuparme en algo?
En esta charla haré una breve introducción al OWASP Top Ten, y contaré qué hace la herramienta y qué aspectos tiene que tener en cuenta cada actor en la construcción del sistema, teniendo foco en las actividades de testing que forman parte del ciclo de desarrollo seguro.
El software inseguro está minando las infraestructuras críticas financieras, de salud, defensa, energía y otras. Conforme el software incrementa su complejidad y capacidad de conexión, la dificultad para alcanzar la seguridad en las aplicaciones se incrementa de manera exponencial. El veloz ritmo de los procesos modernos para el desarrollo del software, hacen los riesgos más comunes sean esenciales de descubrir y resolver rápidamente de manera precisa. Ya no es permisible tolerar problemas de seguridad relativamente simples como los presentados en este OWASP TOP 10.
Aunque el objetivo original del proyecto OWASP TOP 10 fue simplemente crear conciencia entre los desarrolladores y gerentes, se ha convertido en un estándar de facto para seguridad en aplicaciones.
En esta nueva versión del OWASP TOP 10 2017, los problemas y recomendaciones están escritas de una forma concisa y de manera comprobable, para ayudar con la adopción del OWASP TOP 10 en los programas de seguridad en aplicaciones. Se alienta a las organizaciones a utilizar el Estándar de Verificación para la Seguridad de Aplicaciones (ASVS) de OWASP si se requiere un verdadero estándar, pero para la mayoría el OWASP TOP 10 es un gran inicio en el camino de la seguridad en aplicaciones.
Habla de la seguridad olvidada de las aplicaciones web desde el punto de vista del programador. Se revisan ataques de inyección SQL, XSS, Spam, Exposición de recursos, Base de Datos, etc.
Un ciberdebate en el canal de ciberseguridad Palabra de Hacker para conocer de cerca el proyecto OWASP: en qué consiste, qué tipo de documentaciones, guías, contenidos y utilidades se pueden encontrar en su web. cómo se organizan en capítulos locales por todo el mundo, qué tipo de eventos organizan y mucho más. Más información https://www.yolandacorral.com/ciberdebate-que-es-owasp/
Moderado por la periodista Yolanda Corral creadora del canal Palabra de hacker y que contó con la participación de miembros activos del proyecto Vicente Aguilera (líder de OWASP España y Barcelona), Paulino Calderón (OWASP Riviera Maya), Ramón Salado (OWASP Sevilla) y Rafael Sánchez OWASP Madrid).
Similar a Argentesting 2017 - Proyecto OWASP Top 10 (20)
Análisis de Aplicaciones móviles - aspectos de seguridadArgentesting
Expositor: Enrique Dutra
CONTENIDO DEL WEBINAR
Situación actual. Exposición de los servicios y datos a Internet.
De la PC al Celular.
Celulares y las aplicaciones.
Aplicaciones infectadas en 2019.
Nomofobia: miedo de perder el celular.
Desarrollos sin calidad de "seguro".
Arquitectura Android. Plataforma con mayor difusión.
Distribución de Android.
Arquitectura Android.
Android: Algunos puntos débiles.
Evaluando una aplicación móvil. Apostar a la calidad de seguro también es calidad.
Análisis aplicaciones móviles.
Análisis estático.
Análisis dinámico.
¿Cómo podemos testear?
MobSF
Argentesting 2019 - Cambiando el paradigma de la automatizaciónArgentesting
Cambiando el paradigma de la automatización por Leonardo Mantovan - QActions
Sobre la charla:
Hasta el momento, la mayoría de lo que hemos escuchado de la automatización de pruebas implica el desarrollo de scripts a través de un framework ya sea open source o una herramienta licenciada, con un alto esfuerzo en el entendimiento de la herramienta, requiriendo conocimientos mínimos de programación, por lo cual se ve limitado el uso de dichas herramientas para Analistas Tester que no tienen un perfil más técnico. A su vez debemos considerar con estos modelos una línea de mantenimiento que dependiendo los cambios que se producen en los sistemas, por su propia evolución, puede no ser menor. Pero tenemos buenas noticias, el paradigma ha cambiado. ¿Qué opinan si les digo que no deben tener conocimiento pogramático en algún lenguaje en particular? ¿Y si también les digo que si se presenta algún cambio en el software, luego de haber creado nuestras automatizaciones, ya no necesitamos rastrear dichos cambios en forma manual? Y aún hay más, ¿Qué les parece automatizar la estrategia de diseño de pruebas y que a partir de la misma se genera en forma automática la automatización de pruebas que le corresponde? ¡Si, amigos! Este nuevo mundo existe. A partir de este punto se describirá el funcionamiento del modelo, sus posibles integraciones con otros modelos, los requisitos de hardware y los requisitos de soft skills necesarios y otros conocimientos requeridos. Y hablaremos de tiempos y retorno de inversión.
Sobre Leonardo:
Es el líder del área de Automatización y Herramientas de QAcstions System SRL. Certificado en Tosca Commander por Tricentis. Se dedica exclusivamente a testing desde hace 5 años y es tester certificado por ISTQB. Entre las tecnologías que maneja en QActions se encuentran Selenium Java, Microfocus UFT, Microfocus LoadRunner, Tricentis Tosca, Tricentis Flood, Adobe JMeter, entre otras. Actualmente se encarga de gestionar el área técnica de la empresa, manejar los clientes y equipos de automatización y la investigación y capacitación de herramientas para la empresa.
Argentesting 2019 - Cómo convertirse en un tester ágilArgentesting
Cómo convertirse en un tester ágil por Gisela Vivas y Martin Zapata - Endava
Sobre la charla:
Te contaremos cómo ser un Agile Tester: algunas diferencias entre un equipo ágil y un equipo funcional, los principios de un tester ágil, y las habilidades deseables. También hablaremos sobre una herramienta para poder planificar el testing durante el proceso de desarrollo y cómo planear puntualmente las pruebas automatizadas.
Sobre Gisela:
Es ingeniera en sistemas con 12 años de experiencia en testing de software en múltiples y diversas áreas tales como: finanzas, e-commerce, sales, salud, compañías aéreas, etc. Trabajo en Endava desde hace 9 años. En su experiencia laboral ha trabajado como tester manual y automatizado en testing funcional y no funcional para aplicaciones móbiles , web y desktop. Está certificada en Scrum Mater, Scrum developer Y Agile Leadership. Además es instructora de Testing en un proyecto de inclusión social de jóvenes abriendo oportunidades de acceso a herramientas tecnológicas que faciliten su inserción laboral.
Sobre Martín:
Es ingeniero en sistemas de información, y trabaja en sistemas hace 11 años, siempre en el área de Testing. Ha trabajado en varios equipos con diferentes entornos y con distintas actividades tales como: testing manual, automatizado, realizó tareas de Scrum Master, también ha hecho análsisis de requerimientos. Actualmente se encuentra investigando sobre Performance Testing. Esta certificado como Scrum Master y en Agile Leadership. Le gusta mucho el trabajo en equipo, poder aprender y principalmente compartir todo nuevo conocimiento.
Desentrañando selenium por Pablo Soifer
Sobre la charla:
La idea es mostrar cómo funciona Selenium por dentro, qué pasa ante cualquier interacción que tengamos con la librería, cómo es que se mantiene y cómo podríamos reemplazar funcionalidades que tiene por otras.
Sobre Pablo:
Apasionado por el código, la automatización de pruebas y por si fuera poco scrum master.
Argentesting 2019 - Introducción al testing en DevOpsArgentesting
Introducción al testing en DevOps – Por Axel Labruna
El tema a desarrollar será en principio introducir a la audiencia a qué es DevOps, fundamentos y manifiesto, pasando por su contexto de aplicación y cómo la práctica de testing entra en este escenario.
Se seguirá hablando de la importancia de la automatización de pruebas y un breve paso por las herramientas que se utilizan y para qué tipo de pruebas se utilizan.
Habrá una introducción a distintas prácticas de testing dependiendo del ambiente a testear y cómo se puede elaborar una estrategia de testing teniendo en cuenta todas las prácticas y herramientas según la necesidad y el contexto.
La presentación estará basada en el libro “”Testing in DevOps”” de Katrina Clokie.
Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...Argentesting
En la era de la disrupción ¿Cómo estamos imaginando el futuro? – Alfonsina Morgavi y Mariela Romera
Hablaremos sobre la importancia de desafiar el status quo para crear un futuro disruptivo en búsqueda de la evolución de nuestra especialidad acompañando así a la transformación digital. Mencionaremos factores influyentes y tíos/recomendaciones a tener en cuenta.
Argentesting 2019 - Por que-python-esta-buenisimoArgentesting
¿Por qué Python está buenísimo? por Yonatan Romero
Sobre el taller:
En este taller vamos a explorar características avanzadas de Python para conocer qué tanto podemos hacer. Es más que un “”Hola mundo””, no vamos a aprender cual es la diferencia entre un entero o una cadena. Vamos a ir un paso más allá: Iteradores, generadores, decoradores, asincronismo, multihilo, multiproceso, GIL (no los estoy insultando, ya va a ver) y algunas cositas más.
Sobre Yonatan:
Es programador Python desde hace 4 años y trabaja en Onapsis hace 1 año y medio. Además es docente en la Universidad Nacional de La Matanza. Fue administrador de redes y programador java.
Requerimientos:
Tener instalado Python 3. Conocimientos en programación.
Argentesting 2019 - Cypress una completa experiencia de testing end to endArgentesting
Cypress: una completa experiencia de testing end-to-end por Lucas Borella
Sobre el taller:
En este taller vamos a ver un roadmap de todo lo que ofrece Cypress: instalar Cypress, crear Tests, correr tests, debugging y buenas prácticas.
Argentesting 2019 - Testing de accesibilidad: un valor agregado cómo profesio...Argentesting
Testing de accesibilidad: un valor agregado cómo profesional y para el mundo por Gisela Amato y Susana Pallero
Sobre el taller:
Este taller pretende concientizar sobre la importancia de la accesibilidad web a la vez que brindar herramientas que den a la audiencia bases de análisis, diagnóstico y pruebas de accesibilidad.
Sobre Gisela:
Gisela Amato es Tester Certificada en ISTQB con más de 10 años de experiencia en Testing y amplios conocimientos en el ámbito de la accesibilidad, no solo web.
Ha liderado varios equipos durante su carrera y brindado cursos de entrenamiento en testing, calidad y diversas certificaciones. Actualmente trabaja en una empresa de cyber seguridad desempeñando roles de QA, Scrum Master e Instructora.
Sobre Susana:
Susana Pallero es Tester Certificada en ISTQB y especializada en Accesibilidad con más de 5 años de experiencia en este campo. Miembro de Mujeres en Tecnología Córdoba, colabora con diversos colectivos latinoamericanos impartiendo charlas y talleres para generar conciencia sobre la inclusión digital de personas con discapacidad y brindando herramientas que permitan a los profesionales trabajar con una perspectiva inclusiva.
PUXL Ambassador America, actualmente se desempeña como Quality & Accessibility Manager en VR4.
Requerimientos:
Sería muy bueno que tenas instalado Firefox con Fireyes pero no es excluyente.
Argentesting 2019 - Testing exploratorio basado en sesionesArgentesting
Testing exploratorio basado en sesiones - Aplicando mind maps y técnicas de pensamiento lateral por María Belén Llobet y María Victoria Jaurena
Sobre el taller:
Las pruebas exploratorias se basan en un enfoque en el que simultáneamente se aprende sobre la aplicación, se diseñan casos de prueba y se ejecutan esos casos de prueba.
Las mismas pueden aportar información valiosa y pueden ayudar a encontrar defectos que no hubieran sido encontrados por las pruebas convencionales. Sin embargo, sin un mecanismo para estructurar y organizar este esfuerzo, se pueden invertir horas o días enteros explorando el sistema sin un rumbo específico y sin ningún retorno de esa inversión.
Durante este taller, veremos cómo lograr pruebas exploratorias exitosas mediante la implementación de sesiones, en donde se establece una misión con anterioridad y se define un período de tiempo fijo para su ejecución.
Asimismo, explicaremos cómo estructurar y guiar las sesiones de las pruebas exploratorias creando mapas mentales utilizando una sencilla aplicación gratuita.
Explicaremos también cómo utilizar heurísticas y técnicas de pensamiento lateral para enriquecer en forma continua los mapas mentales para su posterior utilización.
Requerimientos:
XMIND8, Firefox o Chrome y acceso a internet
Sobre María Belén:
Analista de Sistemas, trabajo en testing hace mas de 11 años, actualmente se desempeña como Test Lead, Diplomada en Testing de Software y certificada en ISTQB Test Foundation.
Sobre María Victoria:
Ingeniera en Sistemas. Trabajo en testing hace más de 15 años; actualmente me desempeña como Project Manager en el equipo de Validación. Certificada en ISTQB Test Foundation.
Argentesting 2019 - Ser ágiles, hacer ágiles. la historia de un proyecto exitosoArgentesting
Ser ágiles, Hacer ágiles. La historia de un proyecto exitoso. por María del Rosario Romera, Santiago Coccaro y Paola López
Sobre el taller:
Queremos mostrar el punta a punta de un proyecto Ágil. Comenzaremos por medio de juegos, vivenciar que es el mindset agil. Conoceremos los valores, los principios y los repasaremos a lo largo de todo el taller. En la Segunda parte aprenderemos como crear y vender, un producto de 0, de manera agil. Por ultimo, desarrollaremos el producto con Scrum y/o Kanban. Conoceremos como saber cual necesitamos segun nuestro producto/realidad de equipo. Y como llevarlos a la practica.
Todo el taller sera practico.
Sobre los oradores:
Tenemos una extensa experiencia en diferentes entornos de trabajo. Los últimos años trabajamos en áreas de IT, donde descubrimos el mundo de la Agilidad, así como también fuimos adquiriendo experiencia desde la órbita del desarrollo de negocios. Es porque nos inspiramos en los valores Agiles, y creemos firmemente, que es el camino correcto para transformar organizaciones, y lograr resultados rápidamente, en entornos de trabajo motivados y felices, es que emprendemos juntos este camino. Entendiendo el propósito de las organizaciones, acompañandolas tanto en el camino de una transformación ágil, como en la construcción de la misma.
Tantos años de experiencia, tantos equipos, son la razón de nuestra convicción en el paradigma ágil, y entendemos, es la respuesta a muchos de los problemas por los cuales los proyectos fracasan. Es aquí donde nosotros construimos un camino trasmitiendo a otros lo aprendido.
Nosotros somos Rosario Romera, Santiago Coccaro y Paola Lopez. Y nuestro motor principal es cambiar la vida de las personas y las organizaciones.
Llevamos este proyecto con gran pasión, entusiasmo y alegría.
Argentesting 2019 - En la era de la disrupción ¿Cómo estamos imaginando el fu...Argentesting
En la era de la disrupción ¿Cómo estamos imaginando el futuro? – Alfonsina Morgavi y Mariela Romera
Hablaremos sobre la importancia de desafiar el status quo para crear un futuro disruptivo en búsqueda de la evolución de nuestra especialidad acompañando así a la transformación digital. Mencionaremos factores influyentes y tíos/recomendaciones a tener en cuenta.
Argentesting 2019 - Introducción al testing en DevOpsArgentesting
Introducción al testing en DevOps – Por Axel Labruna
El tema a desarrollar será en principio introducir a la audiencia a qué es DevOps, fundamentos y manifiesto, pasando por su contexto de aplicación y cómo la práctica de testing entra en este escenario.
Se seguirá hablando de la importancia de la automatización de pruebas y un breve paso por las herramientas que se utilizan y para qué tipo de pruebas se utilizan.
Habrá una introducción a distintas prácticas de testing dependiendo del ambiente a testear y cómo se puede elaborar una estrategia de testing teniendo en cuenta todas las prácticas y herramientas según la necesidad y el contexto.
La presentación estará basada en el libro “”Testing in DevOps”” de Katrina Clokie.
Argentesting 2019 - Cómo ser más productivo utilizando la línea de comando pa...Argentesting
Cómo ser más productivo utilizando la línea de comando para testear por Pablo Bernard
Sobre la charla:
En la charla presento diferentes acercamientos iniciales al testing desde la línea de comando; la idea de no es reemplazar herramientas; sino ofrecer una muestra de qué cosas se pueden hacer desde la Terminal, y cómo uno puede ahorrarse unas cuantas horas de renegar con un poco de ingenio y un par de comandos.
Se muestra a través de ejemplos cómo interactuar con APIs, cómo trabajar con documentos guardados localmente, junto con un par de casos de uso particularmente genéricos; de los que se pueden derivar generalidades para casos particulares.
Sobre Pablo:
Durante mi primario (allá por los 90s), jugaba con LogoWriter y ví a una maestra presionar Ctrl+D y ver “el otro lado” de la página, donde uno podía programar. Todavía recuerdo la sensación de «Esto cambia TODO» a medida que comprendía las posibilidades que eso implicaba. En el secundario me dí cuenta de que iba a necesitar usar un formato estándar de fechas. Desde ese día, mis archivos relevantes usan ese formato, que ha superado la era de los disquettes, de los CDs regrabables, discos fallidos, pendrives arruinados y el tipo de complicaciones que “la nube” y sus falibles conexiones nos presenta.
En la Facultad me inscribí en una competencia de empresas virtuales. En la tercera ronda del juego no solo había fundido a sabiendas a mi equipo, obtenido una cantidad negativa de stock y despedido a todos menos uno de los empleados (¡virtuales!), sino que había conseguido ingresos por 3.141.592,65$ en el mes. Incidentalmente, pi*10^6, redondeado.
Argentesting 2019 - Analizando la seguridad en aplicaciones móvilesArgentesting
Analizando la seguridad en aplicaciones móviles por Enrique Dutra
Sobre la charla:
Dado la cantidad de aplicaciones que se generan día a día y que por cuestiones de negocio o marketing, las mismas deben ser publicadas a Internet, les explicaremos a la audiencia, como usando las buenas prácticas de OWASP puede evaluarse una aplicación Web o móvil, para luego tener los elementos para asegurar las aplicaciones. Muy pocas personas conocen este lado de OWASP y desconocen que hay aplicaciones gratuitas que permiten trabajar en entornos seguros de las aplicaciones móviles.
Sobre Enrique:
Posee en sociedad una consultora que brinda soporte y consultoría en Seguridad Informática, Consultoría en ISO/IEC 27001, Soporte/Proyectos en plataforma Microsoft /Vmware y de Seguridad Informática ,de la Información y Ciberseguridad.
Ha realizado implementaciones de productos Microsoft en empresas pequeñas, medianas y grandes (más de 2000 Pc). También ha participado en proyectos de gran envergadura de productos Ms Exchange 2003 a 2016, ISA Server y Forefront TMG 2010, Terminal Server y migraciones de MS Windows 2003 a 2016; System Center Operation Manager y Sharepoint.
Llevó a cabo implementaciones exitosas de firewall Fortigate / Checkpoint de manera separada o en cluster. Brinda servicio de Soporte y Seguridad Administrada en plataforma de Seguridad.
Brinda asesoramiento sobre seguridad y normalización en estándares COBIT, SOX,PCI, ISO 20000 y 27001 e ITIL. Más de 30 años realizando Test de Vulnerabilidad, Test de Penetración en redes LAN, DMZ y WAN.
Consultado como Perito Informático en juicios laborales.
Migración de plataformas a Cloud.
Miembro de Criptored, INETA, Internet Security e ISACA.
Disertante en eventos de Microsoft & IBM.
Premiado como MVP Windows Security año 2006, 2007 y 2008.
Premiado como MVP Enterprise Security 2009, 2010, 2011, 2012, 2013 y 2014.
Premiado como MVP Cloud and Datacenter Management 2015, 2016 ,2017/2018 y 2018/2019.
Certificó como Auditor Lider ISO/IEC 27001 by BSI.
MCT dell 1999 al 2013.
Autor de carreras de Seguridad, MSIO y Forefront para el MVA de Microsoft.
Capacitaciones a medida de COBIT 5.0, ISO/IEC 27001 e ITIL o ISO 20000:2005.
Consultor certificado en Security IBM, MCafee y Checkpoint.
Invitado regularmente por programas de TV para analizar cuestiones de seguridad en Internet.
Experto en análisis e implementación de mitigaciones para malware Ransomware.
Experiencia en manejo de casos de grooming y sexting.
Premiado 2018 CYBERSECURITY PROFESSIONAL AWARDS LATAM
Argentesting 2019 - Accesibilidad, donde las especialidades convergenArgentesting
Accesibilidad, donde las especialidades convergen por Érika La torre y Juan Javier Madrazo Hernández
Sobre la charla:
Pretendemos concientizar la importancia de la accesibilidad en el desarrollo de aplicaciones web, lo importante de tener en cuenta una serie de parámetros desde el diseño hasta su etapa de pruebas. La accesibilidad es el derecho al acceso a los contenidos independientemente de la diversidad funcional o del contexto de uso. Les dejamos un video de referencia para que vayan entrando en tema: https://www.youtube.com/watch?v=3f31oufqFSM
Sobre Érika:
Diseñadora gráfica multidisciplinaria en el área de Diseño y la comunicación; especialista en UX/UI, Accesibilidad & CX. Convencida del rol del diseño en la vida de las personas, el mundo digital marcó un antes y un después en su vida y formación. Con más de 14 años de experiencia, posee gran interés en la aplicación de metodologías en los procesos de diseño e innovación. Lidera y gestiona equipos en proyectos de diseño orientados a mejorar la experiencia de los usuarios de productos y servicios. Embajadora de +Mujeres en UX Argentina una comunidad de profesionales UX comprometidas con reducir la brecha de genero en tecnología.
Sobre Javier:
Recibido como Diseñador Gráfico en el Instituto Tecnológico de Diseño de La Habana en 1995, hace algunos años me desempeño como diseñador UX/UI y especialista en Accesibilidad Web.
Argentesting 2019 - Automatizar al infinito y más allá, trae sus inconvenientesArgentesting
Automatizar al infinito y más allá, trae sus inconvenientes por Ernesto kiszkurno
Sobre la charla:
El año pasado presenté en Argentesting el concepto de RPA (robotic process automation) por qué consideraba que era algo interesante para la comunidad de testing. Dije que era un posible career path hacia actividades más orientadas al negocio y que partíamos con ventaja pues muchas de las actividades que sabemos de automatizar en testing, sirven para RPA.
Sigo pensando que hay una oportunidad de evolución allí y es por eso por lo que este año quiero ir un poco más allá y contarles lo que está sucediendo en las empresas con este concepto, que realmente ha explotado en popularidad e inversión.
Hoy en día nos encontramos en un estado de madurez mucho más avanzado de la práctica. Ya hay empresas que tienen cientos de robots trabajando y que han pasado las primeras etapas de maduración donde todo era un “entender para qué sirve la tecnología” a otro en el que “usan el concepto como una herramienta más de integración de procesos de trabajo”.
El problema es que el mindset experimental es muy distinto al de uso masivo. Manejar una bici a 10 km por hora es muy distinto a manejar una moto a 180 km por hora. Hoy en día las empresas enfrentan desafíos más grandes. Están aprendiendo a gobernar y dar escala a la práctica, gestionando la demanda y las expectativas en alza de los usuarios.
Espero me acompañen.
Sobre Ernesto:
Licenciado en Ciencias de la Computación FECyN-UBA. Master in Business Administration Universidad Torcuato Ditella. Diplomado en Antropología Empresarial de la Universidad de Belgrano. Profesional con 20 años de sólida experiencia en las áreas de Desarrollo, Ingeniería de Software, Mejora de Procesos, Gestión de Proyectos, Tecnología y Aseguramiento de la Calidad de Software. Experiencia en la formación, conducción y gestión de equipos exitosos en múltiples empresas y variadas industrias. Socio de Pragma Consultores desde el año 2007. Responsable de los proyectos de I+D de Pragma desde el año 2008. Vicepresidente del HASTQ desde 2008. Experiencia docente a nivel universitario (grado y posgrado) y secundario.
Argentesting 2019 - Cómo la 4ta revolución industrial afectará al testingArgentesting
Cómo la 4ta revolución industrial afectará al testing por Daniel Tolosa
Sobre la charla:
Esta 4ta. revolución industrial, conocida también como Industria 4.0, se caracteriza por la fusión de tecnologías emergente de campos tan diferentes como la robótica, la inteligencia artificial, la nanotecnología, la computación cuántica, la biotecnología, la impresión 3D, blockchain y el internet de las cosas.
Muchas de estas tecnologías nos han tomado por sorpresa y esta afectando a muchas empresas.
En esta charla discutiremos sobre la necesidad de que los ingenieros de software, especialmente las personas dedicadas al control de calidad implementen herramientas y técnicas especializadas para las pruebas de software orientadas a la industria 4.0.
Sobre Daniel:
Daniel Tolosa es Analista de Sistemas de la Universidad Tecnológica Nacional de Argentina y tiene experiencia en definición e implementación de procesos en pequeñas y medianas organizaciones; definición de procesos basados en el modelo de madurez CMM y CMMI; definición de pruebas automatizadas, incluyendo análisis y diseños de casos de prueba, ejecución y evaluación de resultados; Herramientas de Automatización de Pruebas Funcionales y de Performance; administración de proyectos de Testing y en la definición y captura de requerimientos.
Anteriormente, trabajó como en Consultor Senior en GSI Internacional, así como en diversos bancos y entidades financieras en Argentina, Estados Unidos, Puerto Rico y República Dominicana.
Argentesting 2019 - Caso de éxito de pruebas automatizadas en industria autom...Argentesting
Caso de éxito de pruebas automatizadas en industria automotriz por Maximiliano Kunz, Diego Delgado y Ezequiel Bazan
Sobre la charla:
A lo largo de la charla nos introduciremos en los desafíos que representa la automatización de escenarios de usuario en un Sistema de Información y Entretenimiento (Infotainment) en un Automóvil. A este reto inicial le sumamos cómo resolvimos la interacción con los diferentes periféricos que conviven en un auto, como ser el teléfono y pendrives con música, y también funcionalidades como reconocimiento de voz (speech recognition), de escritura (handwriting) y mucho más.
Sobre Maximiliano:
Ingeniero con mas de 11 años de experiencia en testing de software y 2 años en testing automatizado, ademas es Tester Certificado ISTQB y CMAP.
Sobre Ezequiel:
Trabaja hace 8 años en software en el área de testing, y desde hace 3 años en Incluit, desempeñando tareas de Testing automatizado.
Sobre Diego:
Analista diplomado en Calidad de Software con 10 años de experiencia en el área de testing y 6 años coordinando equipos de testing automatizado.
Argentesting 2019 - Lippia, un framework multipropósitoArgentesting
Lippia, un framework multipropósito por Javier Re
Sobre la charla:
La idea es presentar un framework multipropósito que estuvimos construyendo durante los 3 últimos años y que ya vio la luz en algunas implementaciones y sigue avanzando. El framework concentra las ventajas de la utilización de BDD con Cucumber para acercar a los perfiles mas funcionales a la automatización y combina la potencia de distintos frameworks open source integrados en un solo paquete que ahorra muchísimo tiempo en el ramp-up de una estrategia de automatización de pruebas. Permite interactuar con aplicaciones web, móviles y windows desktop. Se ensambla en entornos de integración contínua dando el primer puntapié en esta área si el proyecto lo requiere ya que se implementa en formato de pipeline de Jenkins. El deploy se realiza íntegramente con contenedores Docker lo cual facilita su instalación y escalabilidad. Permite ejecuciones en paralelo y posee reportes nativamente como así también integraciones con plataformas como TFS y Jira+Zephyre..
Sobre Javier:
Javier Re es CEO de Crowdar. Muy proactivo, motivado, interesado en tecnologías de vanguardia y métodos ágiles. Buscando nuevas oportunidades de negocios en todo el mundo para expandir mi negocio dedicado a Consultoría de TI, Calidad de software, Automatización de pruebas con altos estándares de calidad Tengo más de 15 años en Tecnología aplicada a empresas. Además de mi título de Ingeniero de Software y mi Certificación PMP (2006), obtuve un MBA (Master en Administración de Empresas) en 2011 con el objetivo de mejorar mis habilidades comerciales para realizar mis tareas.
Escaneo y eliminación de malware en el equiponicromante2000
El malware tiene muchas caras, y es que los programas maliciosos se reproducen en los ordenadores de diferentes formas. Ya se trate de virus, de programas espía o de troyanos, la presencia de software malicioso en los sistemas informáticos siempre debería evitarse. Aquí te muestro como trabaja un anti malware a la hora de analizar tu equipo
Los desafíos de calidad de software que nos trae la IA y los LLMsFederico Toledo
En esta charla, nos sumergiremos en los desafíos emergentes que la inteligencia artificial (IA) y los Large Language Models (LLMs) traen al mundo de la calidad del software y el testing. Exploraremos cómo la integración, uso o diseño de modelos de IA plantean nuevos retos, incluyendo la calidad de datos y detección de sesgos, sumando la complejidad de probar algo no determinístico. Revisaremos algunas propuestas que se están llevando adelante para ajustar nuestras tareas de testing al desarrollo de este tipo de sistemas, incluyendo enfoques de pruebas automatizadas y observabilidad.
Si bien los hospitales conjuntan a profesionales de salud que atienden a la población, existe un equipo de organización, coordinación y administración que permite que los cuidados clínicos se otorguen de manera constante y sin obstáculos.
Mario García Baltazar, director del área de Tecnología (TI) del Hospital Victoria La Salle, relató la manera en la que el departamento que él lidera, apoyado en Cirrus y Estela, brinda servicio a los clientes internos de la institución e impulsa una experiencia positiva en el paciente.
Conoce el Hospital Victoria La Salle
Ubicado en Ciudad Victoria, Tamaulipas, México
Inició operaciones en el 2016
Forma parte del Consorcio Mexicanos de Hospitales
Hospital de segundo nivel
21 habitaciones para estancia
31 camas censables
13 camillas
2 quirófanos
+174 integrantes en su plantilla
+120 equipos médicos de alta tecnología
+900 pacientes atendidos
Servicios de +20 especialidades
Módulos utilizados de Cirrus
HIS
EHR
ERP
Estela - Business Intelligence
4. Un poco de Historia
En 1991 se publica la primera página web creada por Tim Berners-Lee usando
un computador NeXT.
Hablaba sobre el emergente y emocionante mundo del World Wide Web.
16. Principios de Seguridad OWASP
• Seguridad multicapa.
Defensa en
profundidad
• Positivo.
• Negativo.
Modo de seguridad
positivo y negativo
• Estar preparado para controlar las fallas.Fallo seguro
• Otorgar privilegios estrictamente
necesarios.
Ejecución bajo el
privilegio mínimo
17. • No confiar en los acuerdos de
confidencialidad.
Evitar la seguridad por
medio de la ocultación
• Hacer aplicaciones simples. Cuanto más
complicada más insegura.
Simplicidad
• Registro de actividades en bitácoras.
• Revisión periódica.
• Procedimiento para manejar intrusiones.
Detección de intrusos
• No confiar en el hardware y el software pre-diseñado.
• Implementando todos los controles de seguridad que
sean pertinentes.
No confiar plenamente
en elementos ajenos a
la aplicación
18. SDLC - Secure Software Development
Life Cycle
Análisis
Diseño
Implementación
Testing
Evaluación
19. Flujo de trabajo OWASP
Pre desarrollo
Diseño y
definición
Desarrollo Implementación Mantenimiento
20. Proyectos
Los proyectos OWASP se dividen en dos categorías principales:
• Guía de desarrollo
• OWASP Top Ten
• Proyecto legal
• Guía de pruebas
• Etc.
Desarrollo
• WebGoat
• WebScarab
• Etc.
Documentación
23. Proyecto Top Ten
1
• Los diez riesgos de seguridad más
importantes en aplicaciones WEB
2
• Crear conciencia acerca de la
seguridad WEB
3
• Técnicas de protección
26. OWASP Top 10 - 2013
A1. Inyección
A2. Pérdida de
autenticación y
Gestión de
sesiones
A3. Secuencia de
comandos en sitios
cruzados (XSS)
A4. Referencia
directa insegura a
objetos
A5. Configuración
de seguridad
incorrecta
A6. Exposición de
datos sensibles
A7. Ausencia de
control de acceso
a funciones
A8. Falsificación de
peticiones en sitios
cruzados
A9. Utilización de
componentes con
vulnerabilidades
conocidas
A10. Redirecciones
y reenvíos no
validados
54. Para los desarrolladores:
•OWASP recomienda usar Estándar de Verificación de Seguridad
en Aplicaciones (ASVS) OWASP como una guía para ajustar los
requisitos de seguridad
Requisitos de seguridad
en aplicaciones
•OWASP recomienda la Guía de Desarrollo OWASP, y las hojas de
prevención de trampas OWASP
Arquitectura de seguridad
en aplicaciones
•OWASP recomienda el proyecto Enterprise Security API (ESAPI)
Controles de seguridad
estándar
•OWASP recomienda el Modelo de Garantía de la Madurez del
Software OWASP Software Assurance Maturity Model (SAMM).
Ciclo de vida de desarrollo
seguro
•Para una formación práctica acerca de vulnerabilidades, pruebe
los proyectos OWASP WebGoat, WebGoat.net, o el OWASP
Broken Web Application Project.
Educación de seguridad
en aplicaciones
55. Para los testers:
Revisar el código de la aplicación (si está disponible), y
también evaluar la aplicación
OWASP ha producido los estándares de verificación (ASVS)
de seguridad en aplicaciones.
OWASP Live CD Project
56. Revisión de código
Revisión de
código
Herramientas de
revisión de
código
Pruebas de seguridad
e intrusión
Test de
aplicación
Herramientas de
Intrusión de
Aplicación
57. Para las organizaciones:
• Programa de seguridad, áreas de mejora y un plan
de ejecución, campaña de concienciación de
seguridad.
Comience
• Prioridades de aplicaciones en base a al riesgo ,
modelo de perfilado de riesgo de las aplicaciones,
modelo de calificación de riesgo común.
Enfoque basado en el
catálogo de riesgos
• Políticas y estándares que proporcionen seguridad,
controles de seguridad reutilizables común, perfil
de formación en seguridad en app.
Cuente con una base
sólida
• Actividades de implementación de seguridad,
proporcionar expertos en la materia y apoyo a los
equipos de desarrollo y de proyecto.
Integre la seguridad en
los procesos existentes
• Gestionar a través de métricas. Analizar los datos de
las actividades de implementación y verificación.
Proporcione una visión
de gestión
58. La Seguridad
total no existe!La Seguridad no es un
producto, es una sumatoria de
personas, procesos y tecnología.
Suele ser más costoso aplicar la seguridad
informática al final y no durante el proceso.