Seguridad en Desarrollo Desde la teoría a la práctica (NO seas el próximo Ashley Madison)

Transcripción

1 Seguridad en Desarrollo Desde la teoría a la práctica (NO seas el próximo Ashley Madison) Lic. Cristian Borghello, CISSP CCSK MVP

2 Sobre Cristian Borghello Licenciado en Sistemas UTN desde 2000 Desarrollador desde los 8 años CISSP (CertifiedInformationSystemsSecurity Professional) Microsoft MVP Security (Most Valuable Professional) CCSK (Certificate Cloud Security Knowledge) Creador y Director de Segu-Info y Segu-Kids Instructor y Orador con experiencia internacional en Seguridad Miembro de organizaciones internacionales

3 La Teoría C l i e n t e D e s a r r o l l a d o r e s C o n s u l t o r

4 La Práctica 5 casos reales donde la práctica noes como la teoría Los hechos y personajes de estas historias son ficticios y cualquier semejanza con la realidad es pura coincidencia

5 Caso 1 -Energía C l i e n t e D e v. P r o p i o s C o n s u l t o r

6 Caso 1 -Energía C l i e n t e D e v. P r o p i o s C o n s u l t o r

7 Caso 1 -Energía Antes Después Se llama al consultor de forma obligada No se contaba con área de seguridad propio No se aceptaban las recomendaciones de terceros No se seguían buenas prácticas ni lineamientos de seguridad Se terminó solicitando la opinión de terceros imparciales Se comenzó a pensar en la madurez del software y en la seguridad del mismo Se capacitó a los desarrolladores

8 Caso 2 Alimentos C l i e n t e M a r k e t i n g D e v. E x t. C o n s u l t o r

9 Caso 2 Tiempos Después de 8 meses el proyecto se dio por terminado... pero la mitad de las vulnerabilidad no fueron corregidas

10 Caso 2 Alimentos C l i e n t e M a r k e t i n g D e v. E x t. C o n s u l t o r

11 Caso 2 Alimentos Antes Después Toma de decisiones desde áreas inadecuadas Acceso a la información por parte de terceros Falta de buenas prácticas Falta de testing Se escuchó la opinión del externo autorizado Se comprendió que la información es lo más importante Se comenzó a invertir en desarrollo seguro

12 Caso 3 Financiera C o n s u l t o r C l i e n t e S e g u r i d a d M a r k e t i n g D e v e l o p e r s

13 Caso 3 Financiera Antes Después Comunicación interna deficiente Toma de decisiones desde áreas inadecuadas Salida a producción sin testing apropiado Se rediseño el workflowde trabajo Se comenzaron a seguir buenas prácticas de desarrollo Cada aplicación se testea interna y externamente antes de salir a producción

14 Caso 4 Bancaria C l i e n t e S e g u r i d a d C o n s u l t o r D e v e l o p e r s

15 Caso 4 Bancaria C l i e n t e S e g u r i d a d C o n s u l t o r D e Iv ne s li od pe er r s

16 Booooom!

17 Caso 4 Bancaria Antes Después Lo que funciona no se toca Falta de pericia en la causa del incidente Se asumió que el error era de la App Desarrolladores con poder dentro de la organización Existencia de Insiders La investigación interna facilitó la detección de errores de gestión y técnicos Se optó por realizar modelado de amenazas a las App Se decidió seguir buenas prácticas de desarrollo seguro Se agregaron más y mejores registros de incidentes

18 Caso 5 Salud y PyME C l i e n t e C o n s u l t o r S o f t F a c t o r y

19 Caso 5 Salud y PyME C l i e n t e C o n s u l t o r S o f t F a c t o r y

20 Caso 5 Salud y PyME Antes Después Software Factory sin conocimiento pero con ganas de crecer Modelo de desarrollo complejo con demasiados actores y con acceso a la información Quién almacena y accede a la información? Quién prueba? Quién implementa? Reconocimiento de debilidades en seguridad Visión y reconocimiento de la seguridad de la información División de responsabilidad de acuerdo al proyecto

21 Conclusiones La práctica nunca es igual a la teoría Todos los negocios son distintos Las normas y buenas prácticas son muy buenas, pero deben adecuarse a cada negocio Nuestras recomendaciones pueden no ser tomadas a bien (paciencia!) La seguridad es imprescindible en cualquier proyecto de desarrollo actual

22 Conclusiones Los de seguridad somos bichos raros, hay que convivir con eso y aportar lo mejor Los proyectos no giran alrededor nuestro, nosotros giramos alrededor del negocio Ashley Madison tiene juicios millonarios que amenaza su negocio Y todo por una App mal asegurada

23 Gracias! Lic. Cristian Borghello, CISSP CCSK