Se presenta un marco de actividades para llevar a cabo iniciativas de mejora de la seguridad en el desarrollo de aplicaciones de software, donde es fundamental identificar a los roles adecuados para liderar la iniciativa, establecer las métricas de seguridad para el buen gobierno, desarrollar la inteligencia para detectar modelos de ciberataques y sus requisitos asociados de seguridad, realizar el análisis de riesgos de las arquitecturas del software, las inspecciones de código, las pruebas de seguridad y finalmente, gestionar las entregas de software asociadas a las vulnerabilidades identificadas en los entornos de producción sobre los que se hayan realizado pruebas de penetración.
Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...PECB
The webinar covers:
- Aplicación de los principios
- Marco de referencia
- El proceso
Presenter:
CARLOS ALFONSO RESTREPO ORAMAS, formador certificado por el Instituto Tecnológico de Monterrey México, con 20 años de experiencia profesional en el sector financiero colombiano; capacitando, diseñando, auditando, implementando, operando y liderando sistemas de gestión integral de riesgo y continuidad del negocio para empresas de reconocido prestigio internacional.
Link of the recorded session published on YouTube: https://youtu.be/U8IP9pgZf-I
INFOGRAFIA SOBRE LA NTC ISO 31000, DESARROLLADA POR LELIO CARO RINCÓN, ESTUDIANTE DE LA ESPECIALIZACIÓN DE LA GERENCIA EN SEGURIDAD Y SALUD EN EL TRABAJO
Introduction to NIST’s Risk Management Framework (RMF)Donald E. Hester
This introductory session will cover the basic steps of the Risk Management Framework (RMF) and the transition away from the previous Certification and Accreditation approach to information systems security and assurance. This will also cover the benefits of the RMF for organizations, local, state, and federal governments.
Lecciones aprendidas en la implementación de un sistema de gestión de riesgos...PECB
The webinar covers:
- Aplicación de los principios
- Marco de referencia
- El proceso
Presenter:
CARLOS ALFONSO RESTREPO ORAMAS, formador certificado por el Instituto Tecnológico de Monterrey México, con 20 años de experiencia profesional en el sector financiero colombiano; capacitando, diseñando, auditando, implementando, operando y liderando sistemas de gestión integral de riesgo y continuidad del negocio para empresas de reconocido prestigio internacional.
Link of the recorded session published on YouTube: https://youtu.be/U8IP9pgZf-I
INFOGRAFIA SOBRE LA NTC ISO 31000, DESARROLLADA POR LELIO CARO RINCÓN, ESTUDIANTE DE LA ESPECIALIZACIÓN DE LA GERENCIA EN SEGURIDAD Y SALUD EN EL TRABAJO
Introduction to NIST’s Risk Management Framework (RMF)Donald E. Hester
This introductory session will cover the basic steps of the Risk Management Framework (RMF) and the transition away from the previous Certification and Accreditation approach to information systems security and assurance. This will also cover the benefits of the RMF for organizations, local, state, and federal governments.
Introduction to Risk Management via the NIST Cyber Security FrameworkPECB
The cyber security profession has successfully established explicit guidance for practitioners to implement effective cyber security programs via the NIST Cyber Security Framework (CSF). The CSF provides both a roadmap and a measuring stick for effective cyber security. Application of the CSF within cyber is nothing new, but the resurgence of Enterprise Security Risk Management and Security Convergence highlight opportunities for expanded application for cyber, physical, and personnel security risks. This NIST CSF can help practitioners build a cross-pollenated understanding of holistic risk.
Main points covered:
• Understand the purpose, value, and application of the NIST CSF in familiar non-technical terms.
• Understand how the Functions and Categories of the NIST CSF (the CSF “Core”) and an organization's “current” and “target” profiles are relevant and valuable in a variety of sectors and environments.
• Understand how an organization’s physical and cyber security resources and stakeholders can align with the NIST CSF as a tool to achieve holistic security risk management.
Presenters:
David Feeney, CPP, PMP has 17 years of security industry experience assisting organizations with risk management matters specific to physical, personnel, and cyber security. He has 9 years of experience with service providers and 8 years of experience within enterprise security organizations. David has worked with industry leaders in the energy, technology, healthcare, and real estate sectors. Areas of specialization include Security Operations Center design and management, Security Systems design and implementation, and Enterprise Risk Management. David holds leadership positions in ASIS International and is also a member of the InfraGard FBI program. David holds Certification Protection Professional (CPP) and Project Management Professional (PMP) certifications.
Andrea LeStarge, MS has over ten years of experience in program management, risk analysis and curriculum development. Being specialized in Homeland Security, Andrea leverages her experience in formerly managing projects to support various Federal Government entities in identifying, detecting and responding to man-made, natural and cyber incidents. She has an established track record in recognizing security gaps and corrective risk mitigation options, while effectively communicating findings to stakeholders, private sector owners and operators, and first-responder personnel within tactical, operational and strategic levels. Overall, Andrea encompasses analytical tradecraft and demonstrates consistent, repeatable and defensible methodologies pertaining to risk and the elements of threat, vulnerability and consequence.
Recorded webinar: https://youtu.be/hxpuYtMQgf0
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Denise Tawwab
Denise Tawwab's presentation on "Understanding the NIST Risk Management Framework" given at the Techno Security & Digital Forensics Conference on June 3, 2019 in Myrtle Beach, SC.
This is about what is threat hunting and how to perform it in cyberworld. Our traditional detection systems are being bypassed and we need modern approach to detect & respond to modern day threats.
Entire demo of the same is available on youtube - https://www.youtube.com/playlist?list=PL2iM-fIRjbTCQVI4tR7U2I5IdwLb2QSi_
As a new CISO, you want to have an impact as quickly as possible - people will be watching and judging. But at the same time, you need to be practical about what's achievable in an organization that you're still getting to know. It's also important to consider the experience you bring to the role and how it applies - or doesn't - to your new job.
In this webinar, we'll discuss three fundamental differences you're likely to experience in your new job and offer recommendations on strategic activities you can focus on in your first 90 days. New CISOs will gain a framework for identifying these quick wins. Existing CISOs will get an opportunity to refresh and revitalize their security program.
Our featured speakers for this webinar will be:
- Ted Julian, Chief Marketing Officer, Co3 Systems
- Bill Campbell, IT Executive and Serial CISO
Are you a CIPP holder? (CIPP/US, CIPP/C, CIPP/E, CIPP/G and CIPP/IT) Attend this webinar for CPE credit.
ControlCase covers the following:
•What is PCI DSS?
•What does PCI DSS stand for?
•What is the purpose of PCI DSS?
•Who does PCI DSS apply to?
•What are the 12 requirements of PCI DSS?
•What are the 6 Principles of PCI DSS?
•What are the potential liabilities for not complying with PCI DSS?
•How can we achieve compliance in a cost effective manner?
La presentación contiene, a un alto nivel, diferencias claves entre implementar un SGSI y nivelar el área de SI a través de la definición de un Plan Director de SI #SGSI #seguridad #infosec #PlanDirectorSI
Seguridad informatica y legislacion colombiana de e-docsastu1230
Presentación del eje temático No.6 del curso gestión de documentos digitales. Programa CIDBA. Uniquindío. Temáticas : Seguridad informática y legislación colombiana de documentos electrónicos
Your adversaries continue to attack and get into companies. You can no longer rely on alerts from point solutions alone to secure your network. To identify and mitigate these advanced threats, analysts must become proactive in identifying not just indicators, but attack patterns and behavior. In this workshop we will walk through a hands-on exercise with a real world attack scenario. The workshop will illustrate how advanced correlations from multiple data sources and machine learning can enhance security analysts capability to detect and quickly mitigate advanced attacks.
DevSecOps ya no es una estrategia de nicho que pasa a segundo plano en DevOps, ahora es un movimiento de masas.
El año 2020 ha estado marcado por el rápido progreso de los paradigmas de DevOps transformadores, tales como: codesarrollo en comunidades globales, agnosticismo de plataforma, computación sin servidor, infraestructura como código, espacio de trabajo de extremo a extremo con experiencia unificada en todo el software. ciclo vital. Esa transformación de DevOps ha ofrecido una oportunidad única para la seguridad de las aplicaciones. Por primera vez en una década, es realista crear e integrar seguridad en un DevOps completo, convirtiéndolo así en DevSecOps. La ausencia de DevOps unificado, junto con la ausencia de herramientas nativas, fue un obstáculo para Sec. Ahora, el obstáculo se ha ido. DevOps ha dado un paso crítico hacia DevSecOps, que comenzó a ofrecer sus propias tecnologías de seguridad de aplicaciones.
Introduction to Risk Management via the NIST Cyber Security FrameworkPECB
The cyber security profession has successfully established explicit guidance for practitioners to implement effective cyber security programs via the NIST Cyber Security Framework (CSF). The CSF provides both a roadmap and a measuring stick for effective cyber security. Application of the CSF within cyber is nothing new, but the resurgence of Enterprise Security Risk Management and Security Convergence highlight opportunities for expanded application for cyber, physical, and personnel security risks. This NIST CSF can help practitioners build a cross-pollenated understanding of holistic risk.
Main points covered:
• Understand the purpose, value, and application of the NIST CSF in familiar non-technical terms.
• Understand how the Functions and Categories of the NIST CSF (the CSF “Core”) and an organization's “current” and “target” profiles are relevant and valuable in a variety of sectors and environments.
• Understand how an organization’s physical and cyber security resources and stakeholders can align with the NIST CSF as a tool to achieve holistic security risk management.
Presenters:
David Feeney, CPP, PMP has 17 years of security industry experience assisting organizations with risk management matters specific to physical, personnel, and cyber security. He has 9 years of experience with service providers and 8 years of experience within enterprise security organizations. David has worked with industry leaders in the energy, technology, healthcare, and real estate sectors. Areas of specialization include Security Operations Center design and management, Security Systems design and implementation, and Enterprise Risk Management. David holds leadership positions in ASIS International and is also a member of the InfraGard FBI program. David holds Certification Protection Professional (CPP) and Project Management Professional (PMP) certifications.
Andrea LeStarge, MS has over ten years of experience in program management, risk analysis and curriculum development. Being specialized in Homeland Security, Andrea leverages her experience in formerly managing projects to support various Federal Government entities in identifying, detecting and responding to man-made, natural and cyber incidents. She has an established track record in recognizing security gaps and corrective risk mitigation options, while effectively communicating findings to stakeholders, private sector owners and operators, and first-responder personnel within tactical, operational and strategic levels. Overall, Andrea encompasses analytical tradecraft and demonstrates consistent, repeatable and defensible methodologies pertaining to risk and the elements of threat, vulnerability and consequence.
Recorded webinar: https://youtu.be/hxpuYtMQgf0
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Denise Tawwab
Denise Tawwab's presentation on "Understanding the NIST Risk Management Framework" given at the Techno Security & Digital Forensics Conference on June 3, 2019 in Myrtle Beach, SC.
This is about what is threat hunting and how to perform it in cyberworld. Our traditional detection systems are being bypassed and we need modern approach to detect & respond to modern day threats.
Entire demo of the same is available on youtube - https://www.youtube.com/playlist?list=PL2iM-fIRjbTCQVI4tR7U2I5IdwLb2QSi_
As a new CISO, you want to have an impact as quickly as possible - people will be watching and judging. But at the same time, you need to be practical about what's achievable in an organization that you're still getting to know. It's also important to consider the experience you bring to the role and how it applies - or doesn't - to your new job.
In this webinar, we'll discuss three fundamental differences you're likely to experience in your new job and offer recommendations on strategic activities you can focus on in your first 90 days. New CISOs will gain a framework for identifying these quick wins. Existing CISOs will get an opportunity to refresh and revitalize their security program.
Our featured speakers for this webinar will be:
- Ted Julian, Chief Marketing Officer, Co3 Systems
- Bill Campbell, IT Executive and Serial CISO
Are you a CIPP holder? (CIPP/US, CIPP/C, CIPP/E, CIPP/G and CIPP/IT) Attend this webinar for CPE credit.
ControlCase covers the following:
•What is PCI DSS?
•What does PCI DSS stand for?
•What is the purpose of PCI DSS?
•Who does PCI DSS apply to?
•What are the 12 requirements of PCI DSS?
•What are the 6 Principles of PCI DSS?
•What are the potential liabilities for not complying with PCI DSS?
•How can we achieve compliance in a cost effective manner?
La presentación contiene, a un alto nivel, diferencias claves entre implementar un SGSI y nivelar el área de SI a través de la definición de un Plan Director de SI #SGSI #seguridad #infosec #PlanDirectorSI
Seguridad informatica y legislacion colombiana de e-docsastu1230
Presentación del eje temático No.6 del curso gestión de documentos digitales. Programa CIDBA. Uniquindío. Temáticas : Seguridad informática y legislación colombiana de documentos electrónicos
Your adversaries continue to attack and get into companies. You can no longer rely on alerts from point solutions alone to secure your network. To identify and mitigate these advanced threats, analysts must become proactive in identifying not just indicators, but attack patterns and behavior. In this workshop we will walk through a hands-on exercise with a real world attack scenario. The workshop will illustrate how advanced correlations from multiple data sources and machine learning can enhance security analysts capability to detect and quickly mitigate advanced attacks.
DevSecOps ya no es una estrategia de nicho que pasa a segundo plano en DevOps, ahora es un movimiento de masas.
El año 2020 ha estado marcado por el rápido progreso de los paradigmas de DevOps transformadores, tales como: codesarrollo en comunidades globales, agnosticismo de plataforma, computación sin servidor, infraestructura como código, espacio de trabajo de extremo a extremo con experiencia unificada en todo el software. ciclo vital. Esa transformación de DevOps ha ofrecido una oportunidad única para la seguridad de las aplicaciones. Por primera vez en una década, es realista crear e integrar seguridad en un DevOps completo, convirtiéndolo así en DevSecOps. La ausencia de DevOps unificado, junto con la ausencia de herramientas nativas, fue un obstáculo para Sec. Ahora, el obstáculo se ha ido. DevOps ha dado un paso crítico hacia DevSecOps, que comenzó a ofrecer sus propias tecnologías de seguridad de aplicaciones.
Modelo de madurez de aseguramiento de softwareSoftware Guru
El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en inglés) es una comunidad libre y abierta enfocada en mejorar la seguridad de los programas aplicativos.
Nuestra misión es hacer la seguridad en aplicaciones “visible”, de manera que las personas y organizaciones puedan tomar decisiones informadas sobre los riesgos de seguridad en aplicaciones.
Este webinar pretende precisamente brindar un acercamiento a un marco de trabajo abierto que apoye a las organizaciones a formular e implementar una estrategia de seguridad para software adecuada a las necesidades específicas que está enfrentado la organización.
Diseñamos soluciones basadas en flujos de trabajo para optimizar procesos de TI, utilizando técnicas de automatización para ayudar a los negocios a escalar.
Analizamos, construimos y automatizamos procesos de TI con herramientas de Integración Continua y Despliegues Continuos (CI/CD) que entregan recursos de TI como servicios de Nube y aplicaciones.
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
Fermín Garde, responsable de Desarrollo de Negocio MM.PP. de Wincor Nixdorf, realizó una presentación sobre tres aspectos fundamentales del cumplimiento de la normativa PA DSS: la Guía de Implementación, la Integración de la Seguridad en el Ciclo de Vida del Software y el Laboratorio de Pruebas PCI Compliant.
Construir software seguro siempre debería haber sido una necesidad en cualquier proyecto de desarrollo y los requerimientos de seguridad deberían haber sido contemplados con la misma prioridad que los requerimientos funcionales. La presentación expone, entre otros muchos temas, recursos de OWASP y cómo pueden ayudarnos para la consecución de nuestro objetivo: la creación de software seguro.
La poca importancia que tradicionalmente se da a la seguridad hace que todas las tareas relacionadas con pruebas de seguridad se releguen a las fases finales del desarrollo del software. Precisamente una gran parte de las vulnerabilidades podrían solucionarse considerando un ciclo de vida del software seguro, donde la seguridad se integre plenamente en todo el proceso de ingeniería del software. Así podrían corregirse errores en los procesos de análisis, diseño y desarrollo de software, evitando que se transformen en errores de implementación en el producto final y, por ende, en vulnerabilidades.
Nuestras investigaciones se centran en proponer una metodología propia
de desarrollo seguro, adaptada a una Factoría de Software actual (ViewNext en
nuestro caso). Para ello, se ha realizado un análisis de metodologías enfocadas al desarrollo de software seguro, identificando las actividades de seguridad
fundamentales para cualquier proceso de construcción de software seguro. Junto a estas actividades, se incorporan otras actividades necesarias, conformando así la metodología propia.
Presentación sobre conceptos de ingenieria de software orientado en el ambito academico de institucion DuocUC, multiples slider que hablan sobre los diferentes fundamentos y caracteristicas de la ingenieria de software
Similar a Cómo mejorar la seguridad del software - Secure Software Development Lifecycle (20)
Si bien los hospitales conjuntan a profesionales de salud que atienden a la población, existe un equipo de organización, coordinación y administración que permite que los cuidados clínicos se otorguen de manera constante y sin obstáculos.
Mario García Baltazar, director del área de Tecnología (TI) del Hospital Victoria La Salle, relató la manera en la que el departamento que él lidera, apoyado en Cirrus y Estela, brinda servicio a los clientes internos de la institución e impulsa una experiencia positiva en el paciente.
Conoce el Hospital Victoria La Salle
Ubicado en Ciudad Victoria, Tamaulipas, México
Inició operaciones en el 2016
Forma parte del Consorcio Mexicanos de Hospitales
Hospital de segundo nivel
21 habitaciones para estancia
31 camas censables
13 camillas
2 quirófanos
+174 integrantes en su plantilla
+120 equipos médicos de alta tecnología
+900 pacientes atendidos
Servicios de +20 especialidades
Módulos utilizados de Cirrus
HIS
EHR
ERP
Estela - Business Intelligence
Escaneo y eliminación de malware en el equiponicromante2000
El malware tiene muchas caras, y es que los programas maliciosos se reproducen en los ordenadores de diferentes formas. Ya se trate de virus, de programas espía o de troyanos, la presencia de software malicioso en los sistemas informáticos siempre debería evitarse. Aquí te muestro como trabaja un anti malware a la hora de analizar tu equipo
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
1. CSTIC 2017
Be Agile, Be Digital, Be Secure
Cómo mejorar la
seguridad del software
SSDL: El Ciclo de Vida de Desarrollo de Software Seguro
Ramiro Carballo Gutiérrez
SCAMPI Lead Appraiser
Caelum Information & Quality Technologies, S. L.
2. CSTIC 2017
Be Agile, Be Digital, Be Secure
Quienes somos?
Partner del CMMI Institute (ISACA) en España:
CMMI DEV
CMMI SVC MODELOS NEARSHORE Y FACTORÍA DE SOFTWARE
CMMI ACQ DATA MANAGEMENT MATURITY MODEL
ESTIMACIÓN DE PROYECTOS
ISO 15504 / ISO 12207
ISO 20000 / ITIL
ISO 27.001
MAGERIT V3
ESQUEMA NACIONAL DE SEGURIDAD
3. CSTIC 2017
Ciclo de Vida del Software Seguro
• Ciclo de Vida:
• Secuencia de actividades de la vida de un producto desde su
concepción hasta su retirada.
• Ciclo de Vida de Desarrollo de Software:
• Etapas de la vida de una aplicación software, desde que el usuario
expone sus necesidades, hasta que se despliega en el entorno de
producción.
• Ciclo de Vida de Desarrollo de Software Seguro:
• Integración de las actividades de desarrollo de software con los puntos
de chequeo de seguridad y aquellas cuestiones que eviten que el
software entregado incorpore vulnerabilidades.
4. CSTIC 2017
Prácticas seguras del SSDL
• Tres prácticas del ciclo de vida de desarrollo de software seguro
(SSDL):
• Análisis de la Arquitectura del Software
• Representar la arquitectura del software con diagramas que faciliten identificar
las amenazas y los riesgos, y construir un plan para reducirlos.
• Revisiones de Código Fuente
• Utilizar herramientas de análisis de código que apliquen reglas adaptadas al
contexto de nuestras aplicaciones y hacer seguimiento de los resultados
obtenidos.
• Realización de Pruebas de Seguridad
• Detectar las vulnerabilidades introducidas durante la construcción del código,
antes de realizar la entrega de las aplicaciones software.
5. CSTIC 2017
Análisis de Arquitectura Software (I)
• Revisar las funcionalidades de seguridad de la arquitectura. Ej.
• Autenticación
• Control de acceso
• Criptografía
• Realizar una revisión del diseño de las aplicaciones de más alto
riesgo de la organización, detectar los defectos principales y
elaborar un plan para resolverlos.
• El grupo de Seguridad del Software (SSG) debe liderar las
revisiones de la arquitectura, con su experiencia en seguridad y
con el apoyo de los arquitectos y desarrolladores del software
revisado.
6. CSTIC 2017
Análisis de Arquitectura Software (II)
• Utilizar un cuestionario de riesgos para facilitar la revisión de las
funcionalidades de seguridad y el diseño de la aplicación . Ej.
• Lenguaje de programación
• Usuarios potenciales
• Entorno móvil
• El proceso de análisis de arquitectura debe estar definido para
su uso fácil incluso para técnicos ajenos al grupo de Seguridad
del Software (SSG) y así ayudar a enfocar las revisiones hacia:
• Posibles ataques
• Propiedades de seguridad
• Riesgos asociados
7. CSTIC 2017
Análisis de Arquitectura Software (III)
• Estandarizar la documentación de los diseños: flujos de datos,
diagramas UML, ayuda a tener una imagen clara de los activos
de información que se deben proteger.
• Que el grupo de Seguridad del Software (SSG) soporte y sea el
mentor del resto de equipos de desarrollo en la aplicación del
proceso de Análisis de Arquitectura.
• Convertir los resultados del Análisis de Arquitectura en patrones
de arquitectura estándar, en los que un Comité de Diseño de
Software Seguro se ha preocupado de evitar que se produzcan
errores similares en el futuro.
8. CSTIC 2017
Revisión de Seguridad del Código (I)
• Se deben realizar revisiones de código por parte del Grupo de
Seguridad del Software (SSG), para aplicaciones de alto riesgo.
• Más adelante, otros miembros del equipo de desarrollo pueden hacer
estas revisiones
• Se pueden apoyar en herramientas o ser revisiones manuales.
• Se debe evolucionar según avanza la tecnología revisada.
• Obligar a que se revise el código de todos los proyectos:
• Las entregas se bloquearán si un proyecto no se ha revisado o si el
resultado de la revisión fue negativo.
• Se puede mezclar el uso de herramientas automáticas para los
proyectos de bajo riesgo con el uso de revisiones manuales para los de
riesgo mayor.
9. CSTIC 2017
Revisión de Seguridad del Código (II)
• Generar informes centralizados para aprender de los resultados.
• Tener un repositorio centralizado de errores de seguridad.
• Que permita realizar informes de tendencia a nivel de organización.
• Que permita reconocer las mejoras en la seguridad global
• Los informes de revisión de código se pueden cruzar con otras
medidas del ciclo de vida del desarrollo seguro de software
relacionadas con:
• Pruebas de penetración
• Pruebas de seguridad
• Pruebas de caja negra
• Pruebas de caja blanca
10. CSTIC 2017
Revisión de Seguridad del Código (III)
• Objetivos para “NOTA” en la revisión de seguridad del código:
• Publicar la lista de los 10 defectos más buscados “de esta casa”.
Algunos métodos como OWASP no suele reflejar lo que más le
preocupa a una empresa en concreto.
• Montar una “factoría” de revisores – correctores de código. Con
motores de análisis estático combinado con dinámico, en un flujo
industrial de proceso de revisión.
• Automatizar la detección de código malicioso que pueden elaborar
nuestros propios desarrolladores, mediante el reconocimiento de
patrones de código, para lo que el análisis manual se queda corto.
• Reforzar el uso de estándares de codificación, de manera preventiva.
11. CSTIC 2017
Pruebas de Seguridad (I)
• Asegurar que las pruebas de QA analizan los valores límites de
los rangos de las condiciones:
• Es ir más allá de las pruebas puramente funcionales
• Hay que pensar como los malos y probar valores con mala intención.
• ¿Qué pasa que intentas entrar con la contraseña incorrecta una vez?
¿y otra? ¿y otra…?
• Hay que dirigir las pruebas a
• Los requisitos de seguridad: ¿puedo acceder a algo sin tener permiso?
• Y a las funcionalidades de seguridad.
• Las funciones de nuevos modelos de servicios en la nube…
12. CSTIC 2017
Pruebas de Seguridad (II)
• Mezclar las pruebas de calidad con las pruebas de seguridad:
• Integrando las pruebas de caja negra en el proceso de aseguramiento
de la calidad.
• Haciendo que las pruebas las ejecuten desde calidad, pero se cuente
con el Grupo de Seguridad del Software (SSG) para interpretar los
resultados.
• Compartiendo los resultados de seguridad con los equipos de calidad,
que tienen una forma de trabajar metódica y orientada a la mejora
continua.
• Incluyendo casos de prueba de seguridad dentro de la ejecución
automática de las pruebas de QA.
13. CSTIC 2017
Pruebas de Seguridad (III)
• Para sacar “NOTA” en las pruebas de seguridad:
• Enfocar las pruebas a lo que nos diga el análisis de riesgos:
• Según el resultado del Análisis de la Arquitectura que habíamos procedimentado.
• Priorizando sobre los componentes que presentan los riesgos más altos.
• Darle más importancia a la cobertura de las pruebas:
• Medir la cobertura de código de las pruebas de seguridad nos permite conocer la
proporción de código que no se ha probado.
• Podemos utilizar el indicador de cobertura para conseguir que las pruebas de
seguridad alcancen mayor profundidad.
• Se demuestra que las pruebas de caja negra tienen una cobertura muy baja.
14. CSTIC 2017
Más allá del ciclo de vida SSDL (I)
• Si nos quedamos en
• Análisis
• Diseño
• Código
• Pruebas
• Hemos dejado la seguridad en manos de los desarrolladores.
¿¡ SON LOS HÉROES DE LA SEGURIDAD DEL SOFTWARE !?
Métrica v2.1 sólo habla de ingeniería -> swCMM - Métrica v3
¿QUIERO TENER UNA EMPRESA DE HÉROES?
15. CSTIC 2017
Más allá del ciclo de vida SSDL (II)
• Se necesita el apoyo de toda la organización mediante:
• La entrega segura del software.
• La inteligencia relacionada con la seguridad del software:
• El gobierno de la seguridad del software.
16. CSTIC 2017
La entrega segura de software
• La entrega de software debe asegurar:
• Que los expertos en seguridad realizan pruebas de penetración
enfocadas en explotar vulnerabilidades de la entrega final.
• Que se realiza sobre un entorno seguro:
• Con un sistema operativo y una plataforma adecuadamente parcheada
• Con los firewalls adecuados para las aplicaciones web
• Con documentación de configuración e instalación
• Con monitorización de la disponibilidad de las aplicaciones, gestión del cambio,…
• Con gestión de la configuración y de las vulnerabilidades
• Para asegurar que la última versión no contiene una vulnerabilidad que ya
habíamos corregido.
• Con gestión de incidencias, seguimiento de defectos, control de versiones, etc.
17. CSTIC 2017
Inteligencia de la seguridad
• Creando modelos de ataque basando en información recogida
de cómo piensan los atacantes:
• modelado de amenazas
• desarrollo y refinamiento de casos de abuso
• clasificación de datos y
• patrones de ataque específicos de cada tecnología.
• Creando patrones de diseños y funcionalidades seguros.
• Extrayendo los requisitos de seguridad de la organización.
• Construyendo estándares sobre las funciones principales:
autenticación, validación de entradas, etc.
18. CSTIC 2017
Gobierno de seguridad del software
• Mediante una estrategia de mejora de la seguridad del software
en la que
• Se fijan unos objetivos de seguridad del software
• Se elabora un plan, con recursos, plazos,
• Se identifican las metas y los indicadores para seguirlos.
• Identificando los controles para asegurar el cumplimiento de
compromisos, contratos, estándares, SLAs, siguiendo una
política de seguridad del software y auditándola.
• Proporcionando formación sobre seguridad a los equipos de
desarrollo.
19. CSTIC 2017
Muchas gracias.
The Building Security In Maturity Model is licensed under the Creative Commons Attribution-Share Alike 3.0 License. To view a copy of this license, visit
http://creativecommons.org/licenses/by-sa/3.0/legalcode or send a letter to Creative Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, USA.
Ramiro Carballo
CMMI SCAMPI Lead Appraiser
Tlf. (+34) 639078817
e-mail: rcarballo@caelum.es
https://www.linkedin.com/in/ramirocarballo/
Twitter: @rcarballo_CMMI
CAELUM Information and Quality Technologies.
Tlf. (+34) 91 8312029