SlideShare una empresa de Scribd logo

Modelo de madurez de aseguramiento de software

Software Guru
Software Guru

El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en inglés) es una comunidad libre y abierta enfocada en mejorar la seguridad de los programas aplicativos. Nuestra misión es hacer la seguridad en aplicaciones “visible”, de manera que las personas y organizaciones puedan tomar decisiones informadas sobre los riesgos de seguridad en aplicaciones. Este webinar pretende precisamente brindar un acercamiento a un marco de trabajo abierto que apoye a las organizaciones a formular e implementar una estrategia de seguridad para software adecuada a las necesidades específicas que está enfrentado la organización.

1 de 29
www.sgcampus.com.mx @sgcampus www.sgcampus.com.mx @sgcampus Juan Pablo Carsi Modelo de madurez de aseguramiento de software
www.sgcampus.com.mx @sgcampus Agenda • Un vistazo a la seguridad en el software. • ¿Cuáles son las estrategias actuales para el aseguramiento del software y su problemática? • ¿Qué es un modelo de madurez de aseguramiento de software? • ¿Cómo implemento un modelo de madurez de aseguramiento de software en mi organización?
www.sgcampus.com.mx @sgcampus
www.sgcampus.com.mx @sgcampus Un vistazo a la seguridad en el software
www.sgcampus.com.mx @sgcampus Algunas cifras… •75% de los incidentes de seguridad son causados por fallas en las aplicaciones (Gartner). •92% de las vulnerabilidades se encuentran en las aplicaciones (NIST). • El porcentaje de ataques dirigidos a aplicativos se incrementó del 2% al 33% (The United States Air Force). • Entre el 50 y 60% de los ataques aplicativos provienen desde el interior de las organizaciones.
www.sgcampus.com.mx @sgcampus ¿Qué tan difícil es?
www.sgcampus.com.mx @sgcampus
www.sgcampus.com.mx @sgcampus Estadísticas Costo de la fuga de información Ponemon 2014 Annual Study Cost of a Data Breach
www.sgcampus.com.mx @sgcampus Estadísticas Promedio de registros comprometidos por fuga de información Ponemon 2014 Annual Study Cost of a Data Breach
www.sgcampus.com.mx @sgcampus Estadísticas Costo promedio por registro comprometido Ponemon 2014 Annual Study Cost of a Data Breach
www.sgcampus.com.mx @sgcampus Estadísticas Costo de mitigación Hewlett Packard
www.sgcampus.com.mx @sgcampus ¿Cuáles son las estrategias actuales para el aseguramiento del software?
www.sgcampus.com.mx @sgcampus ¿Cuáles son las estrategias actuales para el aseguramiento del software? Estrategias actuales • Políticas de seguridad • Revisiones de código fuente • Pruebas de seguridad –AV/PT –Fuzzing • Herramientas de seguridad –WAF Áreas de oportunidad • No se cubre el ciclo completo de desarrollo de software. • Enfoque reactivo. • Tiempo de ejecución alto. • Las políticas de seguridad en el software generalmente no son actualizadas regularmente. • No se cuenta con personal capacitado en las organizaciones.
www.sgcampus.com.mx @sgcampus ¿Qué es un modelo de madurez de aseguramiento de software?
www.sgcampus.com.mx @sgcampus OpenSAMM Por sus siglas en inglés Software Assurance Maturity Model; es un marco de trabajo que le permite a las organizaciones: • formular, • conjuntar, e • implementar una estrategia integral de seguridad en el software adecuada a los riesgos que enfrenta cada organización.
www.sgcampus.com.mx @sgcampus Su propósito • Evaluar las prácticas de seguridad en el software existentes en una organización. • Construir un programa de aseguramiento de software flexible y balanceado en iteraciones bien definidas. • Demostrar de manera concreta las mejoras en el programa de aseguramiento del software. • Definir y medir actividades relacionadas en la seguridad en el software en la organización.
www.sgcampus.com.mx @sgcampus Estructura del modelo de madurez de aseguramiento del software
www.sgcampus.com.mx @sgcampus Estructura de OpenSAMM Gobierno Construcción Verificación Implementación Funcionesde negocio Prácticasdeseguridad Estrategia y métricas Educación y orientación Política y cumplimiento Requisitos de seguridad Evaluación de la amenaza Arquitectura de seguridad Revisión de diseño Pruebas de seguridad Revisión de código Fortalecimiento del ambiente Admón. de vulnerabilidades Habilitación operativa
www.sgcampus.com.mx @sgcampus Practicas de seguridad GOBIERNO Estrategia y métricas Política y cumplimiento Educación y orientación Involucra la dirección estratégica del programa de aseguramiento y las actividades para recolectar métricas acerca de la postura de seguridad en el software de una organización. Establecer una estructura de control y auditoría de seguridad para cumplir con los marcos regulatorios en el software. Incrementar el conocimiento de seguridad entre el personal de desarrollo de software.
www.sgcampus.com.mx @sgcampus Practicas de seguridad CONSTRUCCIÓN Evaluación de la amenaza Requisitos de seguridad Arquitectura de seguridad Identificar y caracterizar con precisión los ataques potenciales contra el software en una organización. Promover la inclusión de las necesidades de seguridad en el proceso de desarrollo de software. Fortalecer el proceso de diseño de componentes arquitectónicos o comúnmente utilizados en el desarrollo de software.
www.sgcampus.com.mx @sgcampus Practicas de seguridad VERIFICACIÓN Revisión de diseño Revisión de código Pruebas de seguridad Inspeccionar los artefactos arquitectónicos creados para corroborar que cumplan con las expectativas de seguridad. Evaluar el código fuente de las aplicaciones de la organización en busca de vulnerabilidades. Probar el software en su ambiente de ejecución para la identificación de vulnerabilidades.
www.sgcampus.com.mx @sgcampus Practicas de seguridad IMPLEMENTACIÓN Fortalecimiento del ambiente Administración de las vulnerabilidades Habilitación operativa Implementar controles para el ambiente operativo que rodea al software para reforzar la postura de seguridad de la organización. Establecer procesos consistentes para administrar reportes (internos/externos) para limitar la exposición del software, recopilar información y de esa forma mejorar el modelo. Identificar y capturar información relevante a la seguridad del que necesita un operador para configurar, instalar y ejecutar el software.
www.sgcampus.com.mx @sgcampus ¿Qué nivel de madurez tengo? Nivel 0 • Punto de inicio, las actividades mencionadas en la práctica de seguridad no se han realizado. Nivel 1 • Existe un entendimiento inicial y una provisión de tipo “ad hoc” de la práctica de seguridad. Nivel 2 • Incremento de la eficiencia y/o efectividad de la práctica de seguridad. Nivel 3 • Dominio amplio de la práctica de seguridad.
www.sgcampus.com.mx @sgcampus ¿Cómo implemento un modelo de madurez de aseguramiento de software en mi organización?
www.sgcampus.com.mx @sgcampus SAMM visto desde ciclo de desarrollo de software
www.sgcampus.com.mx @sgcampus Evaluación inicial • OWASP Ciudad de México está liberando un documento para la evaluación inicial para la implementación de un modelo de madurez de aseguramiento del software (SAMM).
www.sgcampus.com.mx @sgcampus Invitación y contacto • Capítulo Cd. de México https://www.owasp.org/index.php?title=Mexico_City • Lista de distribución https://lists.owasp.org/mailman/listinfo/owasp-mexicocity • Correo electrónico carlos.sagrero@owasp.org (Líder Capítulo Ciudad de México) jpcarsi@owasp.org • Maguey ATF http://sourceforge.net/projects/maguey/
www.sgcampus.com.mx @sgcampus Preguntas
www.sgcampus.com.mx @sgcampus Gracias

Recomendados

Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
Mateo Martinez
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
Andres Soto Suarez
 
Arquitectura de software para aplicaciones móviles
Arquitectura de software para aplicaciones móvilesArquitectura de software para aplicaciones móviles
Arquitectura de software para aplicaciones móviles
Sergio Castillo Yrizales
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities
Mohammed A. Imran
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOps
Setu Parimi
 
Modelo CMMI
Modelo CMMIModelo CMMI
Modelo CMMI
Escuela Politécnica Nacional
 
Nist
NistNist
Nist
Yessica B. Leyva Avalos
 
Software De Gestion
Software De GestionSoftware De Gestion
Software De Gestion
Pabloraton
 

Recomendados

Implementando owasp samm en latam
Implementando owasp samm en latamImplementando owasp samm en latam
Implementando owasp samm en latam
Mateo Martinez
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
Andres Soto Suarez
 
Arquitectura de software para aplicaciones móviles
Arquitectura de software para aplicaciones móvilesArquitectura de software para aplicaciones móviles
Arquitectura de software para aplicaciones móviles
Sergio Castillo Yrizales
 
[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities[DevSecOps Live] DevSecOps: Challenges and Opportunities
[DevSecOps Live] DevSecOps: Challenges and Opportunities
Mohammed A. Imran
 
Introduction to DevSecOps
Introduction to DevSecOpsIntroduction to DevSecOps
Introduction to DevSecOps
Setu Parimi
 
Modelo CMMI
Modelo CMMIModelo CMMI
Modelo CMMI
Escuela Politécnica Nacional
 
Nist
NistNist
Nist
Yessica B. Leyva Avalos
 
Software De Gestion
Software De GestionSoftware De Gestion
Software De Gestion
Pabloraton
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
Adan Ernesto Guerrero Mocadan
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1
Mohammed A. Imran
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
Kleitor Franklint Correa Araujo
 
Arquitectura fisica y logica
Arquitectura fisica y logicaArquitectura fisica y logica
Arquitectura fisica y logica
Registro Nacional de Identificación y Estado Civil (RENIEC)
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Camilo Quintana
 
Las mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de softwareLas mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de software
Universidad Militar Nueva Granada-Universidad de Cundinamarca
 
La Calidad de Software
La Calidad de SoftwareLa Calidad de Software
La Calidad de Software
Américo Uriarte Quispe
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
Fernando Solis
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
Primala Sistema de Gestion
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation Journey
DevOps Indonesia
 
iso 27005
iso 27005iso 27005
iso 27005
Pamelita TA
 
Capas de la ingenieria de software
Capas de la ingenieria de softwareCapas de la ingenieria de software
Capas de la ingenieria de software
Eduardo Navarrete Salazar
 
Atributos de calidad en el desarrollo de software
Atributos de calidad en el desarrollo de softwareAtributos de calidad en el desarrollo de software
Atributos de calidad en el desarrollo de software
Gustavo Cuen
 
TOGAF - Fase A
TOGAF - Fase ATOGAF - Fase A
TOGAF - Fase A
Eillenth Paola Peña
 
Rapidminer
RapidminerRapidminer
Rapidminer
Bladimir Carrion Rojas
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Ramiro Cid
 
TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA)
TAR Security
 
2019 DevSecOps Reference Architectures
2019 DevSecOps Reference Architectures2019 DevSecOps Reference Architectures
2019 DevSecOps Reference Architectures
Sonatype
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de software
Lorena Quiñónez
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
CLARIBELVILLARREAL
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actual
Jaime Restrepo
 

Más contenido relacionado

La actualidad más candente

Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
Adan Ernesto Guerrero Mocadan
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1
Mohammed A. Imran
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
Kleitor Franklint Correa Araujo
 
Arquitectura fisica y logica
Arquitectura fisica y logicaArquitectura fisica y logica
Arquitectura fisica y logica
Registro Nacional de Identificación y Estado Civil (RENIEC)
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Camilo Quintana
 
Las mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de softwareLas mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de software
Universidad Militar Nueva Granada-Universidad de Cundinamarca
 
La Calidad de Software
La Calidad de SoftwareLa Calidad de Software
La Calidad de Software
Américo Uriarte Quispe
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
Fernando Solis
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
Primala Sistema de Gestion
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation Journey
DevOps Indonesia
 
iso 27005
iso 27005iso 27005
iso 27005
Pamelita TA
 
Capas de la ingenieria de software
Capas de la ingenieria de softwareCapas de la ingenieria de software
Capas de la ingenieria de software
Eduardo Navarrete Salazar
 
Atributos de calidad en el desarrollo de software
Atributos de calidad en el desarrollo de softwareAtributos de calidad en el desarrollo de software
Atributos de calidad en el desarrollo de software
Gustavo Cuen
 
TOGAF - Fase A
TOGAF - Fase ATOGAF - Fase A
TOGAF - Fase A
Eillenth Paola Peña
 
Rapidminer
RapidminerRapidminer
Rapidminer
Bladimir Carrion Rojas
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Ramiro Cid
 
TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA)
TAR Security
 
2019 DevSecOps Reference Architectures
2019 DevSecOps Reference Architectures2019 DevSecOps Reference Architectures
2019 DevSecOps Reference Architectures
Sonatype
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de software
Lorena Quiñónez
 

La actualidad más candente (20)

Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
 
Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1Practical DevSecOps Course - Part 1
Practical DevSecOps Course - Part 1
 
Entendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento SeguroEntendendo o Ciclo de Desenvolvimento Seguro
Entendendo o Ciclo de Desenvolvimento Seguro
 
Arquitectura fisica y logica
Arquitectura fisica y logicaArquitectura fisica y logica
Arquitectura fisica y logica
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 
Las mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de softwareLas mejores herramientas para realizar pruebas de software
Las mejores herramientas para realizar pruebas de software
 
La Calidad de Software
La Calidad de SoftwareLa Calidad de Software
La Calidad de Software
 
Temas owasp
Temas owaspTemas owasp
Temas owasp
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
DevSecOps Implementation Journey
DevSecOps Implementation JourneyDevSecOps Implementation Journey
DevSecOps Implementation Journey
 
iso 27005
iso 27005iso 27005
iso 27005
 
Capas de la ingenieria de software
Capas de la ingenieria de softwareCapas de la ingenieria de software
Capas de la ingenieria de software
 
Atributos de calidad en el desarrollo de software
Atributos de calidad en el desarrollo de softwareAtributos de calidad en el desarrollo de software
Atributos de calidad en el desarrollo de software
 
TOGAF - Fase A
TOGAF - Fase ATOGAF - Fase A
TOGAF - Fase A
 
Rapidminer
RapidminerRapidminer
Rapidminer
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 
TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA)
 
2019 DevSecOps Reference Architectures
2019 DevSecOps Reference Architectures2019 DevSecOps Reference Architectures
2019 DevSecOps Reference Architectures
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de software
 

Similar a Modelo de madurez de aseguramiento de software

empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
CLARIBELVILLARREAL
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actual
Jaime Restrepo
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Ramiro Carballo
 
Mvp cluster auditoria ambientes share point (1)
Mvp cluster auditoria ambientes share point (1)Mvp cluster auditoria ambientes share point (1)
Mvp cluster auditoria ambientes share point (1)
MVP CLUSTER
 
SeguridadAuditoria.pptx
SeguridadAuditoria.pptxSeguridadAuditoria.pptx
SeguridadAuditoria.pptx
ssuser3937f41
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
PMI Capítulo México
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativa
Cristiam Gomez Quijano
 
Calidad de softaware
Calidad de softawareCalidad de softaware
Calidad de softaware
arteaga22
 
Trabajo final cmm
Trabajo final cmmTrabajo final cmm
Trabajo final cmm
RUBEN SUAREZ
 
Unidad 5
Unidad 5Unidad 5
Unidad 5
Aldo Moreno Basurto
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
alexa1rodriguez
 
Programa de formación
Programa de formaciónPrograma de formación
Programa de formación
Mario Maya
 
Pack online seguridad
Pack online seguridadPack online seguridad
Pack online seguridad
tremco illbruck
 
Ensayo de Diseño de Software
Ensayo de Diseño de SoftwareEnsayo de Diseño de Software
Ensayo de Diseño de Software
Jose Manuel Silva Gomez
 
Pruebas De Seguridad Aplicadas a QA
Pruebas De Seguridad Aplicadas a QAPruebas De Seguridad Aplicadas a QA
Pruebas De Seguridad Aplicadas a QA
TestingCR
 
Aseguramiento de la Calidad
Aseguramiento de la CalidadAseguramiento de la Calidad
Aseguramiento de la Calidad
Neris Alfonzo
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguro
Jesus Manuel Gilbert Castro
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.
Internet Security Auditors
 
Lineas de productos de software y metodo watch
Lineas de productos de software y metodo watchLineas de productos de software y metodo watch
Lineas de productos de software y metodo watch
Fran Valero
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling Tool
Peter Concha
 

Similar a Modelo de madurez de aseguramiento de software (20)

empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actual
 
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development LifecycleCómo mejorar la seguridad del software - Secure Software Development Lifecycle
Cómo mejorar la seguridad del software - Secure Software Development Lifecycle
 
Mvp cluster auditoria ambientes share point (1)
Mvp cluster auditoria ambientes share point (1)Mvp cluster auditoria ambientes share point (1)
Mvp cluster auditoria ambientes share point (1)
 
SeguridadAuditoria.pptx
SeguridadAuditoria.pptxSeguridadAuditoria.pptx
SeguridadAuditoria.pptx
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativa
 
Calidad de softaware
Calidad de softawareCalidad de softaware
Calidad de softaware
 
Trabajo final cmm
Trabajo final cmmTrabajo final cmm
Trabajo final cmm
 
Unidad 5
Unidad 5Unidad 5
Unidad 5
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Programa de formación
Programa de formaciónPrograma de formación
Programa de formación
 
Pack online seguridad
Pack online seguridadPack online seguridad
Pack online seguridad
 
Ensayo de Diseño de Software
Ensayo de Diseño de SoftwareEnsayo de Diseño de Software
Ensayo de Diseño de Software
 
Pruebas De Seguridad Aplicadas a QA
Pruebas De Seguridad Aplicadas a QAPruebas De Seguridad Aplicadas a QA
Pruebas De Seguridad Aplicadas a QA
 
Aseguramiento de la Calidad
Aseguramiento de la CalidadAseguramiento de la Calidad
Aseguramiento de la Calidad
 
Guia para desarrollo de software seguro
Guia para desarrollo de software seguroGuia para desarrollo de software seguro
Guia para desarrollo de software seguro
 
Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.Crear software seguro como objetivo de la direccion.
Crear software seguro como objetivo de la direccion.
 
Lineas de productos de software y metodo watch
Lineas de productos de software y metodo watchLineas de productos de software y metodo watch
Lineas de productos de software y metodo watch
 
Microsoft Threat Modeling Tool
Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool
Microsoft Threat Modeling Tool
 

Más de Software Guru

Hola Mundo del Internet de las Cosas
Hola Mundo del Internet de las CosasHola Mundo del Internet de las Cosas
Hola Mundo del Internet de las Cosas
Software Guru
 
Estructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso realesEstructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso reales
Software Guru
 
Building bias-aware environments
Building bias-aware environmentsBuilding bias-aware environments
Building bias-aware environments
Software Guru
 
El secreto para ser un desarrollador Senior
El secreto para ser un desarrollador SeniorEl secreto para ser un desarrollador Senior
El secreto para ser un desarrollador Senior
Software Guru
 
Cómo encontrar el trabajo remoto ideal
Cómo encontrar el trabajo remoto idealCómo encontrar el trabajo remoto ideal
Cómo encontrar el trabajo remoto ideal
Software Guru
 
Automatizando ideas con Apache Airflow
Automatizando ideas con Apache AirflowAutomatizando ideas con Apache Airflow
Automatizando ideas con Apache Airflow
Software Guru
 
How thick data can improve big data analysis for business:
How thick data can improve big data analysis for business:How thick data can improve big data analysis for business:
How thick data can improve big data analysis for business:
Software Guru
 
Introducción al machine learning
Introducción al machine learningIntroducción al machine learning
Introducción al machine learning
Software Guru
 
Democratizando el uso de CoDi
Democratizando el uso de CoDiDemocratizando el uso de CoDi
Democratizando el uso de CoDi
Software Guru
 
Gestionando la felicidad de los equipos con Management 3.0
Gestionando la felicidad de los equipos con Management 3.0Gestionando la felicidad de los equipos con Management 3.0
Gestionando la felicidad de los equipos con Management 3.0
Software Guru
 
Taller: Creación de Componentes Web re-usables con StencilJS
Taller: Creación de Componentes Web re-usables con StencilJSTaller: Creación de Componentes Web re-usables con StencilJS
Taller: Creación de Componentes Web re-usables con StencilJS
Software Guru
 
El camino del full stack developer (o como hacemos en SERTI para que no solo ...
El camino del full stack developer (o como hacemos en SERTI para que no solo ...El camino del full stack developer (o como hacemos en SERTI para que no solo ...
El camino del full stack developer (o como hacemos en SERTI para que no solo ...
Software Guru
 
¿Qué significa ser un programador en Bitso?
¿Qué significa ser un programador en Bitso?¿Qué significa ser un programador en Bitso?
¿Qué significa ser un programador en Bitso?
Software Guru
 
Colaboración efectiva entre desarrolladores del cliente y tu equipo.
Colaboración efectiva entre desarrolladores del cliente y tu equipo.Colaboración efectiva entre desarrolladores del cliente y tu equipo.
Colaboración efectiva entre desarrolladores del cliente y tu equipo.
Software Guru
 
Pruebas de integración con Docker en Azure DevOps
Pruebas de integración con Docker en Azure DevOpsPruebas de integración con Docker en Azure DevOps
Pruebas de integración con Docker en Azure DevOps
Software Guru
 
Elixir + Elm: Usando lenguajes funcionales en servicios productivos
Elixir + Elm: Usando lenguajes funcionales en servicios productivosElixir + Elm: Usando lenguajes funcionales en servicios productivos
Elixir + Elm: Usando lenguajes funcionales en servicios productivos
Software Guru
 
Así publicamos las apps de Spotify sin stress
Así publicamos las apps de Spotify sin stressAsí publicamos las apps de Spotify sin stress
Así publicamos las apps de Spotify sin stress
Software Guru
 
Achieving Your Goals: 5 Tips to successfully achieve your goals
Achieving Your Goals: 5 Tips to successfully achieve your goalsAchieving Your Goals: 5 Tips to successfully achieve your goals
Achieving Your Goals: 5 Tips to successfully achieve your goals
Software Guru
 
Acciones de comunidades tech en tiempos del Covid19
Acciones de comunidades tech en tiempos del Covid19Acciones de comunidades tech en tiempos del Covid19
Acciones de comunidades tech en tiempos del Covid19
Software Guru
 
De lo operativo a lo estratégico: un modelo de management de diseño
De lo operativo a lo estratégico: un modelo de management de diseñoDe lo operativo a lo estratégico: un modelo de management de diseño
De lo operativo a lo estratégico: un modelo de management de diseño
Software Guru
 

Más de Software Guru (20)

Hola Mundo del Internet de las Cosas
Hola Mundo del Internet de las CosasHola Mundo del Internet de las Cosas
Hola Mundo del Internet de las Cosas
 
Estructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso realesEstructuras de datos avanzadas: Casos de uso reales
Estructuras de datos avanzadas: Casos de uso reales
 
Building bias-aware environments
Building bias-aware environmentsBuilding bias-aware environments
Building bias-aware environments
 
El secreto para ser un desarrollador Senior
El secreto para ser un desarrollador SeniorEl secreto para ser un desarrollador Senior
El secreto para ser un desarrollador Senior
 
Cómo encontrar el trabajo remoto ideal
Cómo encontrar el trabajo remoto idealCómo encontrar el trabajo remoto ideal
Cómo encontrar el trabajo remoto ideal
 
Automatizando ideas con Apache Airflow
Automatizando ideas con Apache AirflowAutomatizando ideas con Apache Airflow
Automatizando ideas con Apache Airflow
 
How thick data can improve big data analysis for business:
How thick data can improve big data analysis for business:How thick data can improve big data analysis for business:
How thick data can improve big data analysis for business:
 
Introducción al machine learning
Introducción al machine learningIntroducción al machine learning
Introducción al machine learning
 
Democratizando el uso de CoDi
Democratizando el uso de CoDiDemocratizando el uso de CoDi
Democratizando el uso de CoDi
 
Gestionando la felicidad de los equipos con Management 3.0
Gestionando la felicidad de los equipos con Management 3.0Gestionando la felicidad de los equipos con Management 3.0
Gestionando la felicidad de los equipos con Management 3.0
 
Taller: Creación de Componentes Web re-usables con StencilJS
Taller: Creación de Componentes Web re-usables con StencilJSTaller: Creación de Componentes Web re-usables con StencilJS
Taller: Creación de Componentes Web re-usables con StencilJS
 
El camino del full stack developer (o como hacemos en SERTI para que no solo ...
El camino del full stack developer (o como hacemos en SERTI para que no solo ...El camino del full stack developer (o como hacemos en SERTI para que no solo ...
El camino del full stack developer (o como hacemos en SERTI para que no solo ...
 
¿Qué significa ser un programador en Bitso?
¿Qué significa ser un programador en Bitso?¿Qué significa ser un programador en Bitso?
¿Qué significa ser un programador en Bitso?
 
Colaboración efectiva entre desarrolladores del cliente y tu equipo.
Colaboración efectiva entre desarrolladores del cliente y tu equipo.Colaboración efectiva entre desarrolladores del cliente y tu equipo.
Colaboración efectiva entre desarrolladores del cliente y tu equipo.
 
Pruebas de integración con Docker en Azure DevOps
Pruebas de integración con Docker en Azure DevOpsPruebas de integración con Docker en Azure DevOps
Pruebas de integración con Docker en Azure DevOps
 
Elixir + Elm: Usando lenguajes funcionales en servicios productivos
Elixir + Elm: Usando lenguajes funcionales en servicios productivosElixir + Elm: Usando lenguajes funcionales en servicios productivos
Elixir + Elm: Usando lenguajes funcionales en servicios productivos
 
Así publicamos las apps de Spotify sin stress
Así publicamos las apps de Spotify sin stressAsí publicamos las apps de Spotify sin stress
Así publicamos las apps de Spotify sin stress
 
Achieving Your Goals: 5 Tips to successfully achieve your goals
Achieving Your Goals: 5 Tips to successfully achieve your goalsAchieving Your Goals: 5 Tips to successfully achieve your goals
Achieving Your Goals: 5 Tips to successfully achieve your goals
 
Acciones de comunidades tech en tiempos del Covid19
Acciones de comunidades tech en tiempos del Covid19Acciones de comunidades tech en tiempos del Covid19
Acciones de comunidades tech en tiempos del Covid19
 
De lo operativo a lo estratégico: un modelo de management de diseño
De lo operativo a lo estratégico: un modelo de management de diseñoDe lo operativo a lo estratégico: un modelo de management de diseño
De lo operativo a lo estratégico: un modelo de management de diseño
 

Último

PLANEACION-PEDAGOGICA-FAMI- .junio 2024pdf
PLANEACION-PEDAGOGICA-FAMI- .junio 2024pdfPLANEACION-PEDAGOGICA-FAMI- .junio 2024pdf
PLANEACION-PEDAGOGICA-FAMI- .junio 2024pdf
DavidAlejandroHenaoG1
 
CLASE 1 INTRODUCCIÓN A LA SEGURIDAD PÚBLICA.pptx
CLASE 1 INTRODUCCIÓN A LA SEGURIDAD PÚBLICA.pptxCLASE 1 INTRODUCCIÓN A LA SEGURIDAD PÚBLICA.pptx
CLASE 1 INTRODUCCIÓN A LA SEGURIDAD PÚBLICA.pptx
FabricioMedina34
 
VOCES DE ITATI EDICION 2 - OPISU Quilmes.pdf
VOCES DE ITATI EDICION 2 - OPISU Quilmes.pdfVOCES DE ITATI EDICION 2 - OPISU Quilmes.pdf
VOCES DE ITATI EDICION 2 - OPISU Quilmes.pdf
comunicacionopisu202
 
VENEZUELA EN CIFRAS, RESUMEN DE DATOS DE VENEZUELA
VENEZUELA EN CIFRAS, RESUMEN DE DATOS DE VENEZUELAVENEZUELA EN CIFRAS, RESUMEN DE DATOS DE VENEZUELA
VENEZUELA EN CIFRAS, RESUMEN DE DATOS DE VENEZUELA
PatriciaMarquina4
 
exposicion sociales.docx profesora nersa trejos
exposicion sociales.docx profesora nersa trejosexposicion sociales.docx profesora nersa trejos
exposicion sociales.docx profesora nersa trejos
carimegomez12
 
Reglamento de Organización y Funciones de MPHCO - 2017.pdf
Reglamento de Organización y Funciones de MPHCO - 2017.pdfReglamento de Organización y Funciones de MPHCO - 2017.pdf
Reglamento de Organización y Funciones de MPHCO - 2017.pdf
OrlandoSamaLino
 
Informe de Movilidad / Mayo 2024 / Caja de Jubilaciones
Informe de Movilidad / Mayo 2024 / Caja de JubilacionesInforme de Movilidad / Mayo 2024 / Caja de Jubilaciones
Informe de Movilidad / Mayo 2024 / Caja de Jubilaciones
Córdoba, Argentina
 
Impacto del conflicto armado en el este de la RDC (la región del Kivu).docx
Impacto del conflicto armado en el este de la RDC (la región del Kivu).docxImpacto del conflicto armado en el este de la RDC (la región del Kivu).docx
Impacto del conflicto armado en el este de la RDC (la región del Kivu).docx
Rodikumbi
 
BANCO MUNDIAL HISTORIA Y ESTRUCTURA DE ORG
BANCO MUNDIAL HISTORIA Y ESTRUCTURA DE ORGBANCO MUNDIAL HISTORIA Y ESTRUCTURA DE ORG
BANCO MUNDIAL HISTORIA Y ESTRUCTURA DE ORG
belkysbarahona3
 
Transcripción. S.E. el Presidente de la República, Gabriel Boric Font, realiz...
Transcripción. S.E. el Presidente de la República, Gabriel Boric Font, realiz...Transcripción. S.E. el Presidente de la República, Gabriel Boric Font, realiz...
Transcripción. S.E. el Presidente de la República, Gabriel Boric Font, realiz...
Andrés Retamales
 
PPT Lista de Espera HCSBA_01_12_2023.ppt
PPT Lista de Espera HCSBA_01_12_2023.pptPPT Lista de Espera HCSBA_01_12_2023.ppt
PPT Lista de Espera HCSBA_01_12_2023.ppt
DanielaRamrez965517
 
Enfografia Armada Estados Unidos EE.pptx
Enfografia Armada Estados Unidos EE.pptxEnfografia Armada Estados Unidos EE.pptx
Enfografia Armada Estados Unidos EE.pptx
LIANANGELDOMINGUEZ
 
Guía 6. Visiones sobre Diego Portales. .docx
Guía 6. Visiones sobre Diego Portales. .docxGuía 6. Visiones sobre Diego Portales. .docx
Guía 6. Visiones sobre Diego Portales. .docx
macielrodriguezlad
 
Promulgado: Ley Integral Para Prevenir, Sancionar y Erradicar La Violencia Co...
Promulgado: Ley Integral Para Prevenir, Sancionar y Erradicar La Violencia Co...Promulgado: Ley Integral Para Prevenir, Sancionar y Erradicar La Violencia Co...
Promulgado: Ley Integral Para Prevenir, Sancionar y Erradicar La Violencia Co...
Baker Publishing Company
 
Balance Caja de Jubilaciones Pensiones y Retiros de la Provincia de Córdoba ...
Balance Caja de Jubilaciones Pensiones y Retiros de la Provincia de Córdoba ...Balance Caja de Jubilaciones Pensiones y Retiros de la Provincia de Córdoba ...
Balance Caja de Jubilaciones Pensiones y Retiros de la Provincia de Córdoba ...
Córdoba, Argentina
 

Último (15)

PLANEACION-PEDAGOGICA-FAMI- .junio 2024pdf
PLANEACION-PEDAGOGICA-FAMI- .junio 2024pdfPLANEACION-PEDAGOGICA-FAMI- .junio 2024pdf
PLANEACION-PEDAGOGICA-FAMI- .junio 2024pdf
 
CLASE 1 INTRODUCCIÓN A LA SEGURIDAD PÚBLICA.pptx
CLASE 1 INTRODUCCIÓN A LA SEGURIDAD PÚBLICA.pptxCLASE 1 INTRODUCCIÓN A LA SEGURIDAD PÚBLICA.pptx
CLASE 1 INTRODUCCIÓN A LA SEGURIDAD PÚBLICA.pptx
 
VOCES DE ITATI EDICION 2 - OPISU Quilmes.pdf
VOCES DE ITATI EDICION 2 - OPISU Quilmes.pdfVOCES DE ITATI EDICION 2 - OPISU Quilmes.pdf
VOCES DE ITATI EDICION 2 - OPISU Quilmes.pdf
 
VENEZUELA EN CIFRAS, RESUMEN DE DATOS DE VENEZUELA
VENEZUELA EN CIFRAS, RESUMEN DE DATOS DE VENEZUELAVENEZUELA EN CIFRAS, RESUMEN DE DATOS DE VENEZUELA
VENEZUELA EN CIFRAS, RESUMEN DE DATOS DE VENEZUELA
 
exposicion sociales.docx profesora nersa trejos
exposicion sociales.docx profesora nersa trejosexposicion sociales.docx profesora nersa trejos
exposicion sociales.docx profesora nersa trejos
 
Reglamento de Organización y Funciones de MPHCO - 2017.pdf
Reglamento de Organización y Funciones de MPHCO - 2017.pdfReglamento de Organización y Funciones de MPHCO - 2017.pdf
Reglamento de Organización y Funciones de MPHCO - 2017.pdf
 
Informe de Movilidad / Mayo 2024 / Caja de Jubilaciones
Informe de Movilidad / Mayo 2024 / Caja de JubilacionesInforme de Movilidad / Mayo 2024 / Caja de Jubilaciones
Informe de Movilidad / Mayo 2024 / Caja de Jubilaciones
 
Impacto del conflicto armado en el este de la RDC (la región del Kivu).docx
Impacto del conflicto armado en el este de la RDC (la región del Kivu).docxImpacto del conflicto armado en el este de la RDC (la región del Kivu).docx
Impacto del conflicto armado en el este de la RDC (la región del Kivu).docx
 
BANCO MUNDIAL HISTORIA Y ESTRUCTURA DE ORG
BANCO MUNDIAL HISTORIA Y ESTRUCTURA DE ORGBANCO MUNDIAL HISTORIA Y ESTRUCTURA DE ORG
BANCO MUNDIAL HISTORIA Y ESTRUCTURA DE ORG
 
Transcripción. S.E. el Presidente de la República, Gabriel Boric Font, realiz...
Transcripción. S.E. el Presidente de la República, Gabriel Boric Font, realiz...Transcripción. S.E. el Presidente de la República, Gabriel Boric Font, realiz...
Transcripción. S.E. el Presidente de la República, Gabriel Boric Font, realiz...
 
PPT Lista de Espera HCSBA_01_12_2023.ppt
PPT Lista de Espera HCSBA_01_12_2023.pptPPT Lista de Espera HCSBA_01_12_2023.ppt
PPT Lista de Espera HCSBA_01_12_2023.ppt
 
Enfografia Armada Estados Unidos EE.pptx
Enfografia Armada Estados Unidos EE.pptxEnfografia Armada Estados Unidos EE.pptx
Enfografia Armada Estados Unidos EE.pptx
 
Guía 6. Visiones sobre Diego Portales. .docx
Guía 6. Visiones sobre Diego Portales. .docxGuía 6. Visiones sobre Diego Portales. .docx
Guía 6. Visiones sobre Diego Portales. .docx
 
Promulgado: Ley Integral Para Prevenir, Sancionar y Erradicar La Violencia Co...
Promulgado: Ley Integral Para Prevenir, Sancionar y Erradicar La Violencia Co...Promulgado: Ley Integral Para Prevenir, Sancionar y Erradicar La Violencia Co...
Promulgado: Ley Integral Para Prevenir, Sancionar y Erradicar La Violencia Co...
 
Balance Caja de Jubilaciones Pensiones y Retiros de la Provincia de Córdoba ...
Balance Caja de Jubilaciones Pensiones y Retiros de la Provincia de Córdoba ...Balance Caja de Jubilaciones Pensiones y Retiros de la Provincia de Córdoba ...
Balance Caja de Jubilaciones Pensiones y Retiros de la Provincia de Córdoba ...
 

Modelo de madurez de aseguramiento de software

  • 1. www.sgcampus.com.mx @sgcampus www.sgcampus.com.mx @sgcampus Juan Pablo Carsi Modelo de madurez de aseguramiento de software
  • 2. www.sgcampus.com.mx @sgcampus Agenda • Un vistazo a la seguridad en el software. • ¿Cuáles son las estrategias actuales para el aseguramiento del software y su problemática? • ¿Qué es un modelo de madurez de aseguramiento de software? • ¿Cómo implemento un modelo de madurez de aseguramiento de software en mi organización?
  • 4. www.sgcampus.com.mx @sgcampus Un vistazo a la seguridad en el software
  • 5. www.sgcampus.com.mx @sgcampus Algunas cifras… •75% de los incidentes de seguridad son causados por fallas en las aplicaciones (Gartner). •92% de las vulnerabilidades se encuentran en las aplicaciones (NIST). • El porcentaje de ataques dirigidos a aplicativos se incrementó del 2% al 33% (The United States Air Force). • Entre el 50 y 60% de los ataques aplicativos provienen desde el interior de las organizaciones.
  • 8. www.sgcampus.com.mx @sgcampus Estadísticas Costo de la fuga de información Ponemon 2014 Annual Study Cost of a Data Breach
  • 9. www.sgcampus.com.mx @sgcampus Estadísticas Promedio de registros comprometidos por fuga de información Ponemon 2014 Annual Study Cost of a Data Breach
  • 10. www.sgcampus.com.mx @sgcampus Estadísticas Costo promedio por registro comprometido Ponemon 2014 Annual Study Cost of a Data Breach
  • 12. www.sgcampus.com.mx @sgcampus ¿Cuáles son las estrategias actuales para el aseguramiento del software?
  • 13. www.sgcampus.com.mx @sgcampus ¿Cuáles son las estrategias actuales para el aseguramiento del software? Estrategias actuales • Políticas de seguridad • Revisiones de código fuente • Pruebas de seguridad –AV/PT –Fuzzing • Herramientas de seguridad –WAF Áreas de oportunidad • No se cubre el ciclo completo de desarrollo de software. • Enfoque reactivo. • Tiempo de ejecución alto. • Las políticas de seguridad en el software generalmente no son actualizadas regularmente. • No se cuenta con personal capacitado en las organizaciones.
  • 14. www.sgcampus.com.mx @sgcampus ¿Qué es un modelo de madurez de aseguramiento de software?
  • 15. www.sgcampus.com.mx @sgcampus OpenSAMM Por sus siglas en inglés Software Assurance Maturity Model; es un marco de trabajo que le permite a las organizaciones: • formular, • conjuntar, e • implementar una estrategia integral de seguridad en el software adecuada a los riesgos que enfrenta cada organización.
  • 16. www.sgcampus.com.mx @sgcampus Su propósito • Evaluar las prácticas de seguridad en el software existentes en una organización. • Construir un programa de aseguramiento de software flexible y balanceado en iteraciones bien definidas. • Demostrar de manera concreta las mejoras en el programa de aseguramiento del software. • Definir y medir actividades relacionadas en la seguridad en el software en la organización.
  • 17. www.sgcampus.com.mx @sgcampus Estructura del modelo de madurez de aseguramiento del software
  • 18. www.sgcampus.com.mx @sgcampus Estructura de OpenSAMM Gobierno Construcción Verificación Implementación Funcionesde negocio Prácticasdeseguridad Estrategia y métricas Educación y orientación Política y cumplimiento Requisitos de seguridad Evaluación de la amenaza Arquitectura de seguridad Revisión de diseño Pruebas de seguridad Revisión de código Fortalecimiento del ambiente Admón. de vulnerabilidades Habilitación operativa
  • 19. www.sgcampus.com.mx @sgcampus Practicas de seguridad GOBIERNO Estrategia y métricas Política y cumplimiento Educación y orientación Involucra la dirección estratégica del programa de aseguramiento y las actividades para recolectar métricas acerca de la postura de seguridad en el software de una organización. Establecer una estructura de control y auditoría de seguridad para cumplir con los marcos regulatorios en el software. Incrementar el conocimiento de seguridad entre el personal de desarrollo de software.
  • 20. www.sgcampus.com.mx @sgcampus Practicas de seguridad CONSTRUCCIÓN Evaluación de la amenaza Requisitos de seguridad Arquitectura de seguridad Identificar y caracterizar con precisión los ataques potenciales contra el software en una organización. Promover la inclusión de las necesidades de seguridad en el proceso de desarrollo de software. Fortalecer el proceso de diseño de componentes arquitectónicos o comúnmente utilizados en el desarrollo de software.
  • 21. www.sgcampus.com.mx @sgcampus Practicas de seguridad VERIFICACIÓN Revisión de diseño Revisión de código Pruebas de seguridad Inspeccionar los artefactos arquitectónicos creados para corroborar que cumplan con las expectativas de seguridad. Evaluar el código fuente de las aplicaciones de la organización en busca de vulnerabilidades. Probar el software en su ambiente de ejecución para la identificación de vulnerabilidades.
  • 22. www.sgcampus.com.mx @sgcampus Practicas de seguridad IMPLEMENTACIÓN Fortalecimiento del ambiente Administración de las vulnerabilidades Habilitación operativa Implementar controles para el ambiente operativo que rodea al software para reforzar la postura de seguridad de la organización. Establecer procesos consistentes para administrar reportes (internos/externos) para limitar la exposición del software, recopilar información y de esa forma mejorar el modelo. Identificar y capturar información relevante a la seguridad del que necesita un operador para configurar, instalar y ejecutar el software.
  • 23. www.sgcampus.com.mx @sgcampus ¿Qué nivel de madurez tengo? Nivel 0 • Punto de inicio, las actividades mencionadas en la práctica de seguridad no se han realizado. Nivel 1 • Existe un entendimiento inicial y una provisión de tipo “ad hoc” de la práctica de seguridad. Nivel 2 • Incremento de la eficiencia y/o efectividad de la práctica de seguridad. Nivel 3 • Dominio amplio de la práctica de seguridad.
  • 24. www.sgcampus.com.mx @sgcampus ¿Cómo implemento un modelo de madurez de aseguramiento de software en mi organización?
  • 25. www.sgcampus.com.mx @sgcampus SAMM visto desde ciclo de desarrollo de software
  • 26. www.sgcampus.com.mx @sgcampus Evaluación inicial • OWASP Ciudad de México está liberando un documento para la evaluación inicial para la implementación de un modelo de madurez de aseguramiento del software (SAMM).
  • 27. www.sgcampus.com.mx @sgcampus Invitación y contacto • Capítulo Cd. de México https://www.owasp.org/index.php?title=Mexico_City • Lista de distribución https://lists.owasp.org/mailman/listinfo/owasp-mexicocity • Correo electrónico carlos.sagrero@owasp.org (Líder Capítulo Ciudad de México) jpcarsi@owasp.org • Maguey ATF http://sourceforge.net/projects/maguey/