El documento describe la importancia de aplicar un enfoque sistémico y preventivo a la seguridad en los procesos de desarrollo de software. Actualmente, la seguridad se enfoca principalmente en pruebas de seguridad del producto final y soluciones reactivas. Sin embargo, la mayoría de vulnerabilidades se originan en etapas tempranas del desarrollo. El documento propone aplicar medidas de calidad y seguridad a lo largo de todo el ciclo de vida del desarrollo, incluyendo análisis, diseño y construcción,

1. Grupo Open Source para la
Integración de Tecnología IN2- Ingeniería de la Información
www.IN2.es
Calidad y Seguridad en Procesos de
Desarrollo de Software
Roger Carhuatocto
roger.carhuatocto [ AT ] in2.es
V1.0 - 18.Marzo.2005
GOS4i + IN2- Ingeniería de la Información – 2005

2. Objetivos
• Reflexión sobre problema de la seguridad en las organizaciones y cómo se están
resolviendo.
• Énfasis en el Proceso de Desarrollo de Sofware (Preventivo)
• Énfasis en las metodologías de aseguramiento de la calidad y seguridad en procesos
de desarrollo de software como actividad preventiva.
[2] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

3. Situación actual ­ Análisis
• Inseguridad
• Seguridad reactiva
– Antivirus
– IDS
– Firewall
– Honeypots, etc..
• El Testing de Seguridad es usado para identificar vulnerabilidades sobre Producto
Final.
• Se soluciona los “bugs”, no el origen de ellos
• ¿Dónde está el origen?
[3] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

4. Definimos la Problemática
• El Sistema de Gestión de Seguridad
– Personas
– Software, Hardware y otro tipo de infraestructura
– Procesos de Negocio
– Información
• ¿Cuál es el elemento más débil?
• ¿A dónde se enfocan las actuales soluciones?
• Aplicar Paretto 80%­20%
[4] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

5. Replanteando el problema – Enfoque Sistémico
• Busquemos el Origen del Problema de la Seguridad
• Usar un nuevo enfoque.
• Enfoque Sistémico del Problema de la Seguridad (Enfoque Holístico)
– Considerar todos los elementos: Personas, SW, HW, Información, Red, etc.
– Nos centramos en el elemento que nos interesa, el Software. Es el elemento más débil?
– Análisis del Proceso de Desarrollo SW en lugar del Producto resultante
– Definir acciones(seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW
[5] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

6. Enfoque Sistémico al Problema de Seguridad ­
Conclusión
• Sólo estamos tomando acciones preventivas sobre el producto final (testing de
seguridad)
• Estamos descuidando la seguridad en otras etapas del Desarrollo de SW
• Existen elementos externos al proceso de Desarrollo de SW que se deben
considerar, ellos proporcionan ayuda en la prevención:
– Sistemas de Gestión de la Calidad
– Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente,
Facturación, Contabilidad, etc.
– Recomendaciones y Metodologías
– Herramientas y Técnicas
• Bugtracking
• CVS
• Wiki
• Nmap, Nessus, etc….
• Testing tools, etc…
[6] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

7. Campos de Acción de QA y Security
Desarrollo de
Software y Seguridad
Aplicaciones Preventiva
Sistem as de Gestión Seguridad
Lógica
Procesos Negocio
Networking, Seguridad
Sistem as e Infraestructura Reactiva
[7] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

8. Revisión del Ciclo de vida del Software
Análisis Diseño Construcción Transición
•Se define el “Cómo?” •Construcción, integración y testing •A producción
•Se define el “Qué?”
•Objetivos: •Interativo •La seguridad aparece
•Qué aporta Seg. a Negocio?
•Prototipeo •Plan Operativo
•Diseño de Sistema •Monitorización
•Herramientas:
•Diseño de Objetos •Respuesta a incidentes
•Requerimientos
•Analisis Func y No­Func. •Diseño de Componentes
•Casos de Uso
•Herramientas:
•CRC Cards:
•Class, Responsibility, Collaboration
•Diagrama de Secuencias y Clases
•Definición Servicios Comunes:
•Logging, Security, Exception, Etc.
•Modelamiento de Amenazas por Casos de Uso
•Patrones de Diseño Funcional
•Patrones de Diseño de Seguridad (por Amenazas)
•Input Validator Pattern
•Aspect Oriented Programming
•Exception Manager Pattern
•Secure Logger Pattern
[8] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

9. Ciclo de vida de los IDS (es reactivo!)
Vulnerability Attack Integrate
Pentest Exploit
detection pattern in IDS
The learning process = Four days (aprox.)
[9] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

10. Evolución de la Gestión de la Calidad
Inspección
• Separación, después de la producción, de los productos
defectuosos de los no defectuosos. P
• Buscar la ausencia de defectos.
• Auditoria final, reuniones para solucionar defectos.
Control de Proceso
• Anticipación dentro de los procesos de desarrollo. P
• No se espera al final de la cadena de producción.
• Se introduce el concepto de proceso.
Gestión Integral de la Calidad
• la Calidad debe abarcar a todas las áreas de las empresa que
intervienen en la realización del producto. P
Calidad Total
• Forma de gestión de una organización centrada en la calidad
basada en la participación de todos sus miembros y que
apunta al éxito a largo plazo por medio de la satisfacción del
cliente y a proporcionar beneficios para todos los miembros de P
la organización y para la sociedad.
[10] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

11. Técnicas más usadas para explotar vulnerabilidades
[11] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

12. Origen de las Vulnerabilidades por Aplicación
[12] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

13. Predicciones en Software Security
[13] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

14. Origen de Defectos en SW – No es código!!
[14] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

15. ROI en Security Software
[15] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

16. Metodologías y Estándares
• De Seguridad
– http://www.fistconference.org/data/presentaciones/estandaresymetodologiasdeseguridad.pdf
– Conferencias FIST, Nov. 2003 – Vicente Aceituno
• Generales
– Anexo­Estandares­QA­SEC_RCARHUATOCTO­v1.pdf
[16] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

17. Conclusiones Finales
• Enfoque Sistémico (Holísitico)
• Aplicable a todo el proceso de desarrollo de SW,
incluye a la etapa de toma de requerimientos
• Usar Metodologías y Estándares de propósito
general y de seguridad
[17] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

18. Referencias
Alan Cox on writ ing bett er sof t ware
By Basheera Khan - Thursday, 07 Oct ober 2004
ht t p:/ / www.pingwales.co.uk/ sof t ware/ cox - on- bet t er- sof t ware.ht m l
Dire St raits
The evolution of sof t ware opens new vist as for business... and t he bad guys.
April 2004, By GARY MCGRAW & GREG HOGLUND
ht t p:/ / infosecurit ym ag.techt arget .com/ ss/ 0,295796,sid6_iss366_art 684,00.htm l
Int roduct ion t o Sof t ware Securit y
Dat e: Nov 2, 2001 By Gary McGraw, John Viega.
ht t p:/ / www.awprof essional.com / articles/ print erf riendly.asp?p= 23950
Cent ro de Desarrollo Microsof t Seguridad
ht t p:/ / www.m icrosoft .com / spanish/ m sdn/ centro_recursos/ securit y/ def ault .asp
[18] GOS4i + IN2- Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software