El documento describe la importancia de aplicar un enfoque sistémico y preventivo a la seguridad en los procesos de desarrollo de software. Actualmente, la seguridad se enfoca principalmente en pruebas de seguridad del producto final y soluciones reactivas. Sin embargo, la mayoría de vulnerabilidades se originan en etapas tempranas del desarrollo. El documento propone aplicar medidas de calidad y seguridad a lo largo de todo el ciclo de vida del desarrollo, incluyendo análisis, diseño y construcción,
Presentation from SAMM Webinar on March 1, 2017
https://www.youtube.com/watch?v=4pKdwRb8fTI
Needing to build more secure software, but not sure how to get started or what to focus on? The Software Assurance Maturity Model (SAMM) is an open framework to help organizations formulate and implement a strategy for software security that is tailored to the specific risks facing an organization.
Presentation from SAMM Webinar on March 1, 2017
https://www.youtube.com/watch?v=4pKdwRb8fTI
Needing to build more secure software, but not sure how to get started or what to focus on? The Software Assurance Maturity Model (SAMM) is an open framework to help organizations formulate and implement a strategy for software security that is tailored to the specific risks facing an organization.
TARA: Threat Assessment and Remediation Analysis
Originally developed in 2010, TARA is an “engineering methodology used to assess and identify cyber threats and select countermeasures effective at mitigating the vulnerabilities”
SAST vs. DAST: What’s the Best Method For Application Security Testing?Cigital
High profile security breaches are leading to heightened organizational security concerns. Firms around the world are now observing the consequences of security breaches that are becoming more widespread and more advanced. Due to this, firms are ready to identify vulnerabilities in their applications and mitigate the risks.
Two ways to go about this are static application security testing (SAST) and dynamic application security testing (DAST). These application security testing methodologies are used to find the security vulnerabilities that make your organization’s applications susceptible to attack.
The two methodologies approach applications very differently. They are most effective at different phases of the software development life cycle (SDLC) and find different types of vulnerabilities. For example, SAST detects critical vulnerabilities such as cross-site scripting (XSS), SQL injection, and buffer overflow earlier in the SDLC. DAST, on the other hand, uses an outside-in penetration testing approach to identify security vulnerabilities while web applications are running.
Let us guide you through your application security testing journey with more key differences between SAST and DAST:
Hace años un grupo de expertos escribieron el manifiesto ágil en respuesta de que el fracaso de proyectos es la incertidumbre comenzando así las metodologías ágiles y scrum como el más representativo.
ControlCase covers the following:
•What is PCI DSS?
•What does PCI DSS stand for?
•What is the purpose of PCI DSS?
•Who does PCI DSS apply to?
•What are the 12 requirements of PCI DSS?
•What are the 6 Principles of PCI DSS?
•What are the potential liabilities for not complying with PCI DSS?
•How can we achieve compliance in a cost effective manner?
In today’s business environment, organizations have a responsibility to their employees, clients, and customers to ensure the confidentiality, integrity and availability of the critical data that is entrusted to them. Every network is vulnerable to some form of attack. However it is not enough to simply confirm that a technical vulnerability exists and implement countermeasures; it is critical to repeatedly verify that the countermeasures are in place and working properly throughout the secured network. During this webinar, David Hammarberg, Principal, IT Director, and leader of McKonly & Asbury’s Cybersecurity Practice will be joined by Partner, Michael Hoffner and they will lead a discussion on a Cybersecurity Risk Management Program including what it is and how it can prepare your organization for the future.
TARA: Threat Assessment and Remediation Analysis
Originally developed in 2010, TARA is an “engineering methodology used to assess and identify cyber threats and select countermeasures effective at mitigating the vulnerabilities”
SAST vs. DAST: What’s the Best Method For Application Security Testing?Cigital
High profile security breaches are leading to heightened organizational security concerns. Firms around the world are now observing the consequences of security breaches that are becoming more widespread and more advanced. Due to this, firms are ready to identify vulnerabilities in their applications and mitigate the risks.
Two ways to go about this are static application security testing (SAST) and dynamic application security testing (DAST). These application security testing methodologies are used to find the security vulnerabilities that make your organization’s applications susceptible to attack.
The two methodologies approach applications very differently. They are most effective at different phases of the software development life cycle (SDLC) and find different types of vulnerabilities. For example, SAST detects critical vulnerabilities such as cross-site scripting (XSS), SQL injection, and buffer overflow earlier in the SDLC. DAST, on the other hand, uses an outside-in penetration testing approach to identify security vulnerabilities while web applications are running.
Let us guide you through your application security testing journey with more key differences between SAST and DAST:
Hace años un grupo de expertos escribieron el manifiesto ágil en respuesta de que el fracaso de proyectos es la incertidumbre comenzando así las metodologías ágiles y scrum como el más representativo.
ControlCase covers the following:
•What is PCI DSS?
•What does PCI DSS stand for?
•What is the purpose of PCI DSS?
•Who does PCI DSS apply to?
•What are the 12 requirements of PCI DSS?
•What are the 6 Principles of PCI DSS?
•What are the potential liabilities for not complying with PCI DSS?
•How can we achieve compliance in a cost effective manner?
In today’s business environment, organizations have a responsibility to their employees, clients, and customers to ensure the confidentiality, integrity and availability of the critical data that is entrusted to them. Every network is vulnerable to some form of attack. However it is not enough to simply confirm that a technical vulnerability exists and implement countermeasures; it is critical to repeatedly verify that the countermeasures are in place and working properly throughout the secured network. During this webinar, David Hammarberg, Principal, IT Director, and leader of McKonly & Asbury’s Cybersecurity Practice will be joined by Partner, Michael Hoffner and they will lead a discussion on a Cybersecurity Risk Management Program including what it is and how it can prepare your organization for the future.
Cómo mejorar la seguridad del software - Secure Software Development LifecycleRamiro Carballo
Se presenta un marco de actividades para llevar a cabo iniciativas de mejora de la seguridad en el desarrollo de aplicaciones de software, donde es fundamental identificar a los roles adecuados para liderar la iniciativa, establecer las métricas de seguridad para el buen gobierno, desarrollar la inteligencia para detectar modelos de ciberataques y sus requisitos asociados de seguridad, realizar el análisis de riesgos de las arquitecturas del software, las inspecciones de código, las pruebas de seguridad y finalmente, gestionar las entregas de software asociadas a las vulnerabilidades identificadas en los entornos de producción sobre los que se hayan realizado pruebas de penetración.
Una presentación de como aplicar dentro de proyectos de desarrollo o implantación de software los criterios de calidad esperados en este tipo de situaciones.
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
La dependencia cada vez mayor del software y la facilidad de explotación por cualquier actor, requiere incrementar los esfuerzos para minimizar los riesgos y la capacidad de impacto en el negocio. La conferencia presenta una evolución de las técnicas de seguridad en el software, desde las clásicas (Manual Inspections & Reviews, Threat Modeling, Code Review, Pentesting) hasta las más actuales relacionadas con IA y Machine Learning. Se enumeran herramientas de análisis de código basadas en técnicas de Machine Learning, y se presenta una visión respecto la influencia que las nuevas tecnologías y la Inteligencia Artificial pueden tener en el sector de la seguridad.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Calidad y Seguridad en Procesos de Desarrollo de Software
1. Grupo Open Source para la
Integración de Tecnología IN2- Ingeniería de la Información
www.IN2.es
Calidad y Seguridad en Procesos de
Desarrollo de Software
Roger Carhuatocto
roger.carhuatocto [ AT ] in2.es
V1.0 - 18.Marzo.2005
GOS4i + IN2- Ingeniería de la Información – 2005
2. Objetivos
• Reflexión sobre problema de la seguridad en las organizaciones y cómo se están
resolviendo.
• Énfasis en el Proceso de Desarrollo de Sofware (Preventivo)
• Énfasis en las metodologías de aseguramiento de la calidad y seguridad en procesos
de desarrollo de software como actividad preventiva.
[2] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
3. Situación actual Análisis
• Inseguridad
• Seguridad reactiva
– Antivirus
– IDS
– Firewall
– Honeypots, etc..
• El Testing de Seguridad es usado para identificar vulnerabilidades sobre Producto
Final.
• Se soluciona los “bugs”, no el origen de ellos
• ¿Dónde está el origen?
[3] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
4. Definimos la Problemática
• El Sistema de Gestión de Seguridad
– Personas
– Software, Hardware y otro tipo de infraestructura
– Procesos de Negocio
– Información
• ¿Cuál es el elemento más débil?
• ¿A dónde se enfocan las actuales soluciones?
• Aplicar Paretto 80%20%
[4] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
5. Replanteando el problema – Enfoque Sistémico
• Busquemos el Origen del Problema de la Seguridad
• Usar un nuevo enfoque.
• Enfoque Sistémico del Problema de la Seguridad (Enfoque Holístico)
– Considerar todos los elementos: Personas, SW, HW, Información, Red, etc.
– Nos centramos en el elemento que nos interesa, el Software. Es el elemento más débil?
– Análisis del Proceso de Desarrollo SW en lugar del Producto resultante
– Definir acciones(seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW
[5] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
6. Enfoque Sistémico al Problema de Seguridad
Conclusión
• Sólo estamos tomando acciones preventivas sobre el producto final (testing de
seguridad)
• Estamos descuidando la seguridad en otras etapas del Desarrollo de SW
• Existen elementos externos al proceso de Desarrollo de SW que se deben
considerar, ellos proporcionan ayuda en la prevención:
– Sistemas de Gestión de la Calidad
– Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente,
Facturación, Contabilidad, etc.
– Recomendaciones y Metodologías
– Herramientas y Técnicas
• Bugtracking
• CVS
• Wiki
• Nmap, Nessus, etc….
• Testing tools, etc…
[6] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
7. Campos de Acción de QA y Security
Desarrollo de
Software y Seguridad
Aplicaciones Preventiva
Sistem as de Gestión Seguridad
Lógica
Procesos Negocio
Networking, Seguridad
Sistem as e Infraestructura Reactiva
[7] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
8. Revisión del Ciclo de vida del Software
Análisis Diseño Construcción Transición
•Se define el “Cómo?” •Construcción, integración y testing •A producción
•Se define el “Qué?”
•Objetivos: •Interativo •La seguridad aparece
•Qué aporta Seg. a Negocio?
•Prototipeo •Plan Operativo
•Diseño de Sistema •Monitorización
•Herramientas:
•Diseño de Objetos •Respuesta a incidentes
•Requerimientos
•Analisis Func y NoFunc. •Diseño de Componentes
•Casos de Uso
•Herramientas:
•CRC Cards:
•Class, Responsibility, Collaboration
•Diagrama de Secuencias y Clases
•Definición Servicios Comunes:
•Logging, Security, Exception, Etc.
•Modelamiento de Amenazas por Casos de Uso
•Patrones de Diseño Funcional
•Patrones de Diseño de Seguridad (por Amenazas)
•Input Validator Pattern
•Aspect Oriented Programming
•Exception Manager Pattern
•Secure Logger Pattern
[8] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
9. Ciclo de vida de los IDS (es reactivo!)
Vulnerability Attack Integrate
Pentest Exploit
detection pattern in IDS
The learning process = Four days (aprox.)
[9] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
10. Evolución de la Gestión de la Calidad
Inspección
• Separación, después de la producción, de los productos
defectuosos de los no defectuosos. P
• Buscar la ausencia de defectos.
• Auditoria final, reuniones para solucionar defectos.
Control de Proceso
• Anticipación dentro de los procesos de desarrollo. P
• No se espera al final de la cadena de producción.
• Se introduce el concepto de proceso.
Gestión Integral de la Calidad
• la Calidad debe abarcar a todas las áreas de las empresa que
intervienen en la realización del producto. P
Calidad Total
• Forma de gestión de una organización centrada en la calidad
basada en la participación de todos sus miembros y que
apunta al éxito a largo plazo por medio de la satisfacción del
cliente y a proporcionar beneficios para todos los miembros de P
la organización y para la sociedad.
[10] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
15. ROI en Security Software
[15] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
16. Metodologías y Estándares
• De Seguridad
– http://www.fistconference.org/data/presentaciones/estandaresymetodologiasdeseguridad.pdf
– Conferencias FIST, Nov. 2003 – Vicente Aceituno
• Generales
– AnexoEstandaresQASEC_RCARHUATOCTOv1.pdf
[16] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
17. Conclusiones Finales
• Enfoque Sistémico (Holísitico)
• Aplicable a todo el proceso de desarrollo de SW,
incluye a la etapa de toma de requerimientos
• Usar Metodologías y Estándares de propósito
general y de seguridad
[17] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
18. Referencias
Alan Cox on writ ing bett er sof t ware
By Basheera Khan - Thursday, 07 Oct ober 2004
ht t p:/ / www.pingwales.co.uk/ sof t ware/ cox - on- bet t er- sof t ware.ht m l
Dire St raits
The evolution of sof t ware opens new vist as for business... and t he bad guys.
April 2004, By GARY MCGRAW & GREG HOGLUND
ht t p:/ / infosecurit ym ag.techt arget .com/ ss/ 0,295796,sid6_iss366_art 684,00.htm l
Int roduct ion t o Sof t ware Securit y
Dat e: Nov 2, 2001 By Gary McGraw, John Viega.
ht t p:/ / www.awprof essional.com / articles/ print erf riendly.asp?p= 23950
Cent ro de Desarrollo Microsof t Seguridad
ht t p:/ / www.m icrosoft .com / spanish/ m sdn/ centro_recursos/ securit y/ def ault .asp
[18] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software