Armas del CISO Actual. OWASP Venezuela OWASP Uruguay

Transcripción

1 Armas del CISO Actual Edgar Salazar Mateo Martínez OWASP Venezuela OWASP Uruguay

2 OWASP

3 14 Años de servicio a la comunidad

4 170 Proyectos Activos

5 200 Capítulos Activos

6 43,000+ Participantes en listas de correos

7 90+ Citaciones de gobiernos e industrias!

8 1 de cada 8 sitios web tiene Vulnerabilidades Críticas

9 Las Aplicaciones Crecen El software cada vez más grande y complejo o Windows ~ 15 millones de líneas de código en Windows 95 ~ 18 millones de líneas de código en Windows 98 ~ 40 millones de líneas de código en Windows XP ~ 50 millones de líneas de código en Windows Vista ~ 80 millones de líneas de código en Windows 7 o Linux ~ 17 million lines of code in Redhat 6 ~ 30 million lines of code in Redhat 7 ~ 60 million lines of code in Debian 2 ~ 100 million lines of code in Debian 3 ~ 300 million lines of code in Debian 4 o Mac OS X ~ 90 million lines of code in Mac OS X 10.4

10 Excusas El cliente no especificó requerimientos de seguridad No hay presupuesto asignado para seguridad en el desarrollo Tenemos un proceso de auditoría fuerte que encuentra fallas El fin del proyecto está cerca y no podemos modificar el código El equipo de Testing verifica todo antes de realizar las entregas Nuestro software está basado en un framework Open Source Tenemos un Firewall y utilizamos SSL. Los atacantes solo están interesados en aplicaciones financieras

11 o Generar cultura de Seguridad o Mejores Decisiones si están entrenados o Roles y Responsabilidades en Software Security

12 Es un tema de prioridades Funcionalidades Performance Usabilidad Uptime Mantenimiento Seguridad Seguridad == nivel 6 de prioridad Encuesta realizada a +200 programadores por John Wilander

13 Requerimientos regulatorios Ejemplo: PCI DSS Payment Card Industry Data Security Standard SDLC 6.3 Desarrollar las aplicaciones (internas y externas incluyendo web) en cumplimiento con PCI DSS y basado en las buenas prácticas de la industria. Incorporar seguridad de la información en el ciclo de vida del desarrollo de software (SDLC)

14 OWASP Top 10 (2013 Edition)

15 OWASP Secure Coding Practices Quick Reference Guide _Quick_Reference_Guide

16 Quick Reference Guide Lista de Verificación de Prácticas de Codificación Segura Validación de entradas Codificación de salidas Administración de autenticación y contraseñas Administración de sesiones Control de Acceso Prácticas Critpográficas Manejo de errores y Logs Protección de datos Seguridad en las comunicaciones Configuración de los sistemas Seguridad de Base de Datos Manejo de Archivos Manejo de Memoria Practicas Generales para la Codificación

17 OpenSAMM

18 Diseño Seguro Estándares de desarrollo Estándares basados en ASVS Security Architecture Documentation Authentication Session Management Access Control ASVS Input/Output validation Cryptography Error Handling & Logging Data Protection HTTP Security Security Configuration

19 The OWASP Testing Framework Inspecciones y revisiones manuales Modelado de Amenazas Revisión de Código Fuente Penetration Testing

20 OWASP Testing Guide Alineada a otras guías de OWASP Desarrollo Seguro Revisión de Código OpenSAMM Metodología de testing aceptada por el mercado Relevante Respetable Detallada

21 Cheatsheets Auth Sesión Acceso Input Output Cross Comm Log Uploads

22 Guía para CISOs Parte 1: Razones para Invertir en Seguridad de Aplicaciones Parte 2: Criterios para gestionar riesgos Parte 3: Programa de Seguridad en Aplicaciones Parte 4: Métricas de Gestión de Riesgos e Inversiones

23 Estrategia: Puntos Clave:

24 Guía para CISOs

25 Encuesta para CISOs 2013

26 Edgar Salazar Mateo Martínez OWASP Venezuela OWASP Uruguay