Este documento presenta los retos y tendencias de seguridad en el desarrollo de aplicaciones, incluyendo altas tasas de vulnerabilidades en aplicaciones web y los costos crecientes de remediación. También describe el enfoque de Secure SDLC para integrar la seguridad en cada fase del ciclo de vida del desarrollo de software, como modelado de amenazas, pruebas estáticas y dinámicas, y penetración. Abordar la seguridad temprano a través de este enfoque puede ofrecer un fuerte retorno de inversión en

1. IBM Security Services
Data Application Security (DAS)

2. Agenda
IBM Security / © 2020 IBM Corporation 2
• Retos y Tendencias
• Brechas de Seguridad
• Industrias con más ataques
• Hechos y cifras
• S-SDLC
• Costo Remediación de Hallazgos SDLC

3. 3
Retos y tendencias

4. Porcentaje de aplicaciones web con
vulnerabilidades que pueden ser explotadas
IBM Security / © 2020 IBM Corporation 4
92%
Source: Abandoned Web Applications: Achilles' Heel of FT 500 Companies, High-Tech Bridge Security Research, 2018

5. Los desafíos de Seguridad cambian constantemente
CHALLENGES AND TRENDS11-Mar-20
Ataques Avanzados INSIDERS Innovación Cumplimiento
Desde…
• Amenazas robustas
• Hackers solitarios
• Empleados
descontentos
• Estrategia y Tecnología
de seguridad lineal
• Marcar la casilla
• Normas y Regulaciones
Hasta…
• Delincuencia
organizada (ej.
ransomware)
• Socios y externos se
convierten en expertos
internos
• Paradigmas Ágiles que
mueven al negocio
• Análisis de riesgo
continuo
• GDPR
Cibercrime se convertirá
en un problema de
$2.1 trilliones
para 2020 (usd)
En 2016 los ataques de
insiders fueron
58%
vs 42% ataques externos
Para 2020, habrá
20.8 billiones
de “cosas” conectadas
(IoT)
Multas de GDPR cuestan
billiones
a empresas globales

6. Brechas de Seguridad
Source: https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

7. Industrias con más ataques
Source: IBM X-Force Threat Intelligence Index - 2020

8. Hechos y cifras notables
8
Aplicaciones:
150 – 1,500 (C/M/G
Empresas)
Vulnerabilidades en
Aplicaciones:
5 – 25 por Aplicación
Tiempo Promedio de
Remediación:
100 – 240 días
IBM Security / © 2020 IBM Corporation
Superficie de Ataque x Exposición = Riesgo
Aplicaciones x Vulnerabilidades = Superficie de Ataque

9. Secure SDLC (S-SDLC)
Capacidades escenciales de la seguridadpor diseño
Requerimientos Diseño Desarrollo Pruebas Despliegue
Contar con controles de seguridad en cualquier nivel
del Desarrollo de software es nuestra estrategia de
gestión de riesgos
Arquitectura Técnica y de Software
Ambientes (desdelas estaciones de
trabajo de los desarrolladores hasta
producción).
Pipeline de Desarrollo de Software (por
ejemplo; segregación de funciones,
control de acceso o scripts de
seguridad)
Entregables de la aplicación (escaneos
de caja blanca, dependencias de
terceros, pruebas de penetración)
Personas Procesos Tecnología
Escaneos Dinámicos
Escaneos Estáticos
Soporte a la Implementación de Controles
Gestión de Requerimientos de Seguridad
Modelaje de Amenazas
Diseño de SDLC Seguro
Diseño Seguro | Capacitación a Desarrolladores
Defensa Técnica
Soporte a la remediación
Pruebas de Penetración
El pilar inicial del desarrollo seguro de software comienza con la implementación de una metodología que
contemple los requerimientos funcionales y no funcionales de seguridad, así como los controles y
verificaciones que se deben llevar a cabo en cada una de las fases del desarrollo de software.

10. Secure SDLC en Acción
S-SDLC Overview
Análisis de
Requerimientos
Diseño Desarrollo QA y Pruebas Acceptance /
Release
1.1 Evaluación Inicial Riesgos
de Seguridad
1.2 Requisitos Aplicables de
Seguridad y Privacidad
1.3 Requisitos de Negocio de
Seguridad y Privacidad
1.4 Requisitos de
Arquitectura de la Solución de
Seguridad y Privacidad
2.1 Modelado de Amenazas
de Seguridad
2.2 Arquitectura y Diseño de
Seguridad
1 2 3 4 5
3.3 (SAST) Static Application
Security Testing
4.1 (DAST) Dynamic
Application Security Testing
5.1 Penetration Testing
3.1 Programación con
Prácticas de Seguridad
3.2 Alineación de Casos de
Prueba de Seguridad
1. Modelado de
Amenazas
(informe)
2. Arquitectura y
Diseño mínimos de
seguridad
1. Requisitos mínimos
de seguridad
2. Evaluación de
problemas de
seguridad
1. Reporte de pruebas
de código fuente de
seguridad
2. Soporte de
remediación
1. Reporte de pruebas
de aplicaciones
dinámicas
2. Soporte de
remediación
1. Reporte de pruebas
de penetración
2. El tratamiento de
las vulnerabilidades
y los resultados
Training and awareness
Riesgos y/o
Remediación
Requerimientos
de Negocio

11. Costo Remediación de Hallazgos SDLC
Requerimientos Diseño Desarrollo Pruebas Despliegue
• El costo de remediar hallazgos de
seguridad se incrementa
exponencialmente.
• Abordar la seguridad temprano es
clave para ejecutar un programa de
seguridad de aplicaciones rentable.
• Asegurar las aplicaciones por diseño
ofrece un fuerte ROI en contraste con
la aplicación de soluciones de
seguridad antes del lanzamiento.
Source: https://www.researchgate.net/publication/255965523_Integrating_Software_Assurance_into_the_Software_Development_Life_Cycle_SDLC

12. Mesa 2
Mesa 3
Mesa 1
Hub de
Expertos
Modelo integrado
del ecosistema
Experto
Seguridad
Experto
Seguridad
Consultor
Seguridad
Consultor
Seguridad
InfoSec Team
Mesa n
Mesa 4
Mesa 5
Tribu 1 Tribu 2
Chapter Control de Seguridad
AgileOps
AgileOps
AgileOps
AgileOps
AgileOps
AgileOps
Champion
Seguridad
Champion
Seguridad
Champion
SeguridadChampion
Seguridad
Champion
Seguridad
Champion
Seguridad
InfoSec Team
Delivery Pipeline Seguro

13. Procedimientos alineados al esquema de
trabajo, considerando un modelo variable de
crecimiento e integrando las herramientas con
las que se cuentan en el proceso tradicional.
Eficiencia y
Flexibilidad
Seguridad y
Cumplimiento
Time-to-Market
Adoptar practica ágiles de seguridad en el
Ciclo de Vida de desarrollo del SW (S-SDLC).
Balancear los controles de seguridad sin
afectar la dinámica de las mesas ágiles
(CI/CD)
Ventajas Mesas Ágiles

14. Threat Modeling Threat
Modeling
ü Desarrollo de software con las
contramedidas a las posibles
amenazas.
ü Añadir protección adicional para el
context expecífico de la aplicación
ü Casos de Uso vs Casos de Abuso
ü Protección contra el abuso de la
aplicación desde la etapa del diseño
ü Pruebas de los casos de abuso
ü Reducción del nivel de riesgo
ü Priorización de contramedidas
Uso de aplicación y usuarios
Arquitectura de la aplicación
Categorías de amenazas y filtrado
Mapeo de amenazas vs contramedidas
Nivel de riesgo
Es un procedimiento para optimizar la seguridad mediante la identificación de
objetivos y vulnerabilidades, y luego la definición de contramedidas para prevenir o
mitigar los efectos de las amenazas al sistema

15. © Copyright IBM Corporation 2019. All rights reserved. The information contained in these materials is provided for
informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of
direction represents IBM’s current intent, is subject to change or withdrawal, and represent only goals and objectives.
IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines
Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks
or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through
prevention, detection and response to improper access from within and outside your enterprise. Improper access can
result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your
systems, including for use in attacks on others. No IT system or product should be considered completely secure and no
single product, service or security measure can be completely effective in preventing improper use or access. IBM
systems, products and services are designed to be part of a lawful, comprehensive security approach, which will
necessarily involve additional operational procedures, and may require other systems, products or services to be most
effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise
immune from, the malicious or illegal conduct of any party.
Follow us on:
ibm.com/security
securityintelligence.com
ibm.com/security/community
xforce.ibmcloud.com
@ibmsecurity
youtube/user/ibmsecuritysolutions
Thank you