Tendencias en Seguridad y Control en Aplicaciones

Transcripción

1 Tendencias en Seguridad y Control en Aplicaciones Lucio Augusto Molina Focazzio Certified information Systems Auditor - CISA Certified Information Security Manager CISM CobiT Accredited Trainer Consultor en Auditoría de Sistemas y Seguridad de la Información

2 Agenda Introducción Riesgos en las Aplicaciones El SDLC y los beneficios de Integrar la Seguridad en el Ciclo Fases de la seguridad en el Ciclo de Desarrollo de Software Conclusiones

3 Agenda Riesgos en las Aplicaciones

4 Vulnerabilidades relacionadas con las Vulnerabilidades relacionadas con las aplicaciones

5 10 MayoresRiesngospara la Seguridad en las Aplicaciones Injection Cross Site Scripting (XSS) Broken Authentication and Session Management Insecure Direct Object References Cross Suite Request Forgery (CSRF) Security Misconfiguration Insecure Cryptographic Stoprage Failure to Restrict URL Access Insufficient Transportt Layer Protection Unvalidated Redirects and Forwards

6 Requerimientos De seguridad Revisión del Diseño Revisión del Código Pruebas de Penetración Requerimientos y casos de uso Diseño Plan de Pruebas Códificación Pruebas Retroalimentación Análisis de Riesgos Pruebas a la Seguridad

7 Agenda El SDLC y los beneficios i de Integrar la Seguridad en el Ciclo

8 Beneficios de Integrar la Seguridad en el SDLC Identificacion y mitigación oportuna de vulnerabilidades y malas configuraciones Bajo costo en la implementacion de controles y mitigacion de vulnerabilidades Identificacion de servicios de seguridad compartidos Estrategias de reuso de herramientas para reducir costos y programaciones Mejoramiento de la seguridad mediante el uso de tecnicas y métodos probados 8 Confidential

9 Beneficios de Integrar la Seguridad en el SDLC Decisiones informadas a traves de una adecuada gestion de riesgos Documentacion de la seguridad durante el desarrollo Mejoramiento de la confianza de las organizacion y los usuarios para facilitar la adopcion y uso Mejoramiento en la interoperabilidad e integracion que de otra manera podría generar obstáculos mediante el aseguramiento de los sistemas a varios niveles 9 Confidential

10 Agenda F d l id d l Ci l Fases de la seguridad en el Ciclo de Desarrollo de Software

11 Fases del SDLC Inicio y estudio de Factibilidad Definicion de requerimientos Diseño Funcional Diseño técnico y construcción de la solución Verificación Implementación Mantenimiento y Seguimiento

12 Fases del SDLC con Seguridad Fase 1. Inicio i Fase 2: Desarrollo / Adquisición Fase 3: Implementacion / Valoración Fase 4: Operación / Mantenimiento Fase 5: Disposición NIST SP Confidential

13 Integración de Controles dentro del Software (CoBiT) Adquirir e Implementar Soluciones Identificar Soluciones Adquirir y mantener el Sw de Aplicación Adquirir y Mantener la Infraestructura tecnológica Establecer la Operación y el Uso Procurar Recursos de TI Gestionar cambios Instalar y Acreditar Soluciones y cambios Identificar Obj, de control relevantes Diseñar controles de Aplicacion Construir y configurar controles Documenta r controles y entrenar a los usuarios Probar y Aprobar los controles

14 Fase 1. Inicio 1. Involucramiento de los dueños del negocio 2. Documentar la Arquitectura Empresarial 3. Indentificar y especificar las politicas y leyes aplicables 4. Desarrollar los Objetivos de Confidencialidad, Integridad y Disponibilidad 5. Categorizacion de la Seguridad en los Sistemas de Información y en la Informacion 6. Desarrollar especificaciones de Procurement 7. Análisis Preliminar deriesgos 14 Confidential

15 Phase 1: Initiation Relating security considerations 15 Confidential

16 Fase 2. Adquisición / Desarrollo 1. Análisis de Riesgos 2. Seleccion de linea base de controles de seguridad 3. Refinamiento de las linea base de los controles de seguridad 4. Diseño de los Controles de Seguridad 5. Análisis de Costos y reporte 6. Planeación de la seguridad 7. Pruebas unitarias i y evaluacion de la integraciónió de la seguridad 16 Confidential

17 Phase 2: Acquisition / Development Relating security considerations 17 Confidential

18 Fase 3. Implementación / Valoración 1. Inspección y aceptacion del Producto /componentes 2. Ontegracion de los controles de seguridad 3. Guia Administrativa / Usuario 4. Prurebaa la seguridad d dlsi del Sistema y plan de evaluacion 5. Certificación del Sistema 6. Determinación del Riesgo residual 7. Acreditación ió de la Seguridad d 18 Confidential

19 Phase 3: Implementation / Acquisition Relating security considerations 19 Confidential

20 Fase 4: Operación / Mantenimiento 1. Gestión de la Configuración, control de cambios y auditoría 2. Monitoreo Continuo 3. Recertificación 4. Reacreditación 5. Gestión de Incidentes 6. Auditoría 7. Detección y Monitoreo de Intrusos 8. Prueba del Plan de Contingencias (incluyendo plan de 20 Confidential operacion y continuidad)

21 Phase 4: Operations / Maintenance Relating security considerations 21 Confidential

22 Fase 5: Disposición 1. Planeación de la Transicion (migracion dl del nuevo sistema) 2. Disposición de Componentes 3. Saneamiento de medios 4. Archivo de Informacion asegurando la preservacion de la informacion 22 Confidential

23 Phase 5: Sunset (Disposition) Relating security considerations 23 Confidential

24 Conclusiones Agenda

25 Conclusiones El seguimiento al Ciclo de Vida del desarrollo de Sistemas incrementa la probabilidad de éxito del proyecto Incluir la seguridad durante el SDLC trae economías importantes Para incluir la seguridad en la aplicación se combinan estándares y mejoresprácticas como ISO 27001, CoBiT, ITIL, NIST y BS25999

26 Preguntas????

27 GRACIAS