Tendencias en Seguridad y Control en Aplicaciones Lucio Augusto Molina Focazzio Certified information Systems Auditor - CISA Certified Information Security Manager CISM CobiT Accredited Trainer Consultor en Auditoría de Sistemas y Seguridad de la Información
Agenda Introducción Riesgos en las Aplicaciones El SDLC y los beneficios de Integrar la Seguridad en el Ciclo Fases de la seguridad en el Ciclo de Desarrollo de Software Conclusiones
Agenda Riesgos en las Aplicaciones
Vulnerabilidades relacionadas con las Vulnerabilidades relacionadas con las aplicaciones
10 MayoresRiesngospara la Seguridad en las Aplicaciones Injection Cross Site Scripting (XSS) Broken Authentication and Session Management Insecure Direct Object References Cross Suite Request Forgery (CSRF) Security Misconfiguration Insecure Cryptographic Stoprage Failure to Restrict URL Access Insufficient Transportt Layer Protection Unvalidated Redirects and Forwards
Requerimientos De seguridad Revisión del Diseño Revisión del Código Pruebas de Penetración Requerimientos y casos de uso Diseño Plan de Pruebas Códificación Pruebas Retroalimentación Análisis de Riesgos Pruebas a la Seguridad
Agenda El SDLC y los beneficios i de Integrar la Seguridad en el Ciclo
Beneficios de Integrar la Seguridad en el SDLC Identificacion y mitigación oportuna de vulnerabilidades y malas configuraciones Bajo costo en la implementacion de controles y mitigacion de vulnerabilidades Identificacion de servicios de seguridad compartidos Estrategias de reuso de herramientas para reducir costos y programaciones Mejoramiento de la seguridad mediante el uso de tecnicas y métodos probados 8 Confidential
Beneficios de Integrar la Seguridad en el SDLC Decisiones informadas a traves de una adecuada gestion de riesgos Documentacion de la seguridad durante el desarrollo Mejoramiento de la confianza de las organizacion y los usuarios para facilitar la adopcion y uso Mejoramiento en la interoperabilidad e integracion que de otra manera podría generar obstáculos mediante el aseguramiento de los sistemas a varios niveles 9 Confidential
Agenda F d l id d l Ci l Fases de la seguridad en el Ciclo de Desarrollo de Software
Fases del SDLC Inicio y estudio de Factibilidad Definicion de requerimientos Diseño Funcional Diseño técnico y construcción de la solución Verificación Implementación Mantenimiento y Seguimiento
Fases del SDLC con Seguridad Fase 1. Inicio i Fase 2: Desarrollo / Adquisición Fase 3: Implementacion / Valoración Fase 4: Operación / Mantenimiento Fase 5: Disposición NIST SP 800-64 12 Confidential
Integración de Controles dentro del Software (CoBiT) Adquirir e Implementar Soluciones Identificar Soluciones Adquirir y mantener el Sw de Aplicación Adquirir y Mantener la Infraestructura tecnológica Establecer la Operación y el Uso Procurar Recursos de TI Gestionar cambios Instalar y Acreditar Soluciones y cambios Identificar Obj, de control relevantes Diseñar controles de Aplicacion Construir y configurar controles Documenta r controles y entrenar a los usuarios Probar y Aprobar los controles
Fase 1. Inicio 1. Involucramiento de los dueños del negocio 2. Documentar la Arquitectura Empresarial 3. Indentificar y especificar las politicas y leyes aplicables 4. Desarrollar los Objetivos de Confidencialidad, Integridad y Disponibilidad 5. Categorizacion de la Seguridad en los Sistemas de Información y en la Informacion 6. Desarrollar especificaciones de Procurement 7. Análisis Preliminar deriesgos 14 Confidential
Phase 1: Initiation Relating security considerations 15 Confidential
Fase 2. Adquisición / Desarrollo 1. Análisis de Riesgos 2. Seleccion de linea base de controles de seguridad 3. Refinamiento de las linea base de los controles de seguridad 4. Diseño de los Controles de Seguridad 5. Análisis de Costos y reporte 6. Planeación de la seguridad 7. Pruebas unitarias i y evaluacion de la integraciónió de la seguridad 16 Confidential
Phase 2: Acquisition / Development Relating security considerations 17 Confidential
Fase 3. Implementación / Valoración 1. Inspección y aceptacion del Producto /componentes 2. Ontegracion de los controles de seguridad 3. Guia Administrativa / Usuario 4. Prurebaa la seguridad d dlsi del Sistema y plan de evaluacion 5. Certificación del Sistema 6. Determinación del Riesgo residual 7. Acreditación ió de la Seguridad d 18 Confidential
Phase 3: Implementation / Acquisition Relating security considerations 19 Confidential
Fase 4: Operación / Mantenimiento 1. Gestión de la Configuración, control de cambios y auditoría 2. Monitoreo Continuo 3. Recertificación 4. Reacreditación 5. Gestión de Incidentes 6. Auditoría 7. Detección y Monitoreo de Intrusos 8. Prueba del Plan de Contingencias (incluyendo plan de 20 Confidential operacion y continuidad)
Phase 4: Operations / Maintenance Relating security considerations 21 Confidential
Fase 5: Disposición 1. Planeación de la Transicion (migracion dl del nuevo sistema) 2. Disposición de Componentes 3. Saneamiento de medios 4. Archivo de Informacion asegurando la preservacion de la informacion 22 Confidential
Phase 5: Sunset (Disposition) Relating security considerations 23 Confidential
Conclusiones Agenda
Conclusiones El seguimiento al Ciclo de Vida del desarrollo de Sistemas incrementa la probabilidad de éxito del proyecto Incluir la seguridad durante el SDLC trae economías importantes Para incluir la seguridad en la aplicación se combinan estándares y mejoresprácticas como ISO 27001, CoBiT, ITIL, NIST y BS25999
Preguntas????
lucio_molina@etb.net.co GRACIAS