Diseño de software seguro: procesos de diseño seguro, interconectividad, modelado de amenazas, arquitecturas de aplicación y técnicas aplicables.

Documentos relacionados
GENEXUS & OWASP TOP 10

Offensive State Auditoría de Aplicaciones Web

PROYECTO ISO SISTESEG

ISO GAP ANALYSIS

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Seguridad en el desarrollo

Auditoría Técnica de Seguridad de Aplicaciones Web

SEMINARIO Módulo Seguridad Informatica

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

Herramientas de OWASP para Tes3ng de Seguridad. Mateo Mar8nez Voluntario Capítulo OWASP Uruguay h"ps://

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

Sistema Interinstitucional de Transferencia de Información

IFCD0210 Desarrollo de Aplicaciones con Tecnologías Web

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE SOFTWARE VIRTUALIZADO DE CONTROL DE ACCESOS

Tendencias en Seguridad y Control en Aplicaciones

Soluciones de ciberseguridad integrada en dispositivos de control

Esquema Nacional de la Seguridad. RSA, la División de Seguridad de EMC

Lenguajes de marcado para presentación de Páginas web.

Usando OWASP para cumplir PCI-DSS

ESCUELA: Universidad Tecnológica de la Mixteca GRADO: Ingeniero en Computación, séptimo semestre.

Curso: (30227) Seguridad Informática

OWASP Day Costa Rica

CLASE # 2 PLANEACIÓN DE PRUEBAS

Servicios Web Requisitos de Cumplimiento de Auditoria Seguridad de la Información

Departamento Ingeniería en Sistemas de Información

PRIMER CONGRESO DE MANTENIMIENTO CANAL DE PANAMÁ

Curso de Experto en. Inicio OCTUBRE 2016 INFORMACIÓN Y RESERVA DE PLAZA: ,

Principios Básicos de Seguridad en Bases de Datos

SISTEMA DE GESTIÓN DE

Oracle Enterprise Manager 10g Grid Control NUEVO

Vulnerabilidades en Aplicaciones Web Webinar Gratuito

Perfiles y funciones de los Profesionales evaluadores

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Seguridad en el Ciclo de Desarrollo

.com [IN]SEGURIDAD WEB ING. SAUL MAMANI M.

INTRODUCCIÓN A LA ADMINISTRACIÓN DE REDES I N G. M O I S É S A L V A R E Z H U A M Á N

Nombre de la asignatura: Interconectividad de Redes. Créditos: Aportación al perfil

Oracle Database 11g: Seguridad Versión 2

Mantener una base de datos de Microsoft SQL Server 2008 R2. Fabricante: Microsoft Grupo: Bases de Datos Subgrupo: Microsoft SQL Server 2008

Gerencia de Proyectos

Soluciones BYOD para el aula. 24.Febrero.2016

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Área: Microsoft SQL. Nombre del curso. Administración de Microsoft SQL Server 2014 Bases de datos

La seguridad informática en la PYME Situación actual y mejores prácticas

SEGURIDAD EN APLICACIONES WEB LA MEJOR SOLUCIÓN DE ESCANEOPARA APLICACIONES WEB

Seguridad en Aplicaciones Web

Programación de código seguro

OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS OWASP. The OWASP Foundation

Hacking Ético Web. I Jornadas Tecnológicas CEEPS Carlos García García i52gagac@uco.es

Métricas para la Seguridad de las Aplicaciones. MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A.

FORMACIÓN PRESENCIAL ESPECIALIZADA - SEGURIDAD EN ENTORNOS WEB - MODULO I ENTORNO DE DESARROLLO WEB. MYSQL+PHP AUDITOR DE SEGURIDAD EN ENTORNOS WEB.

ANÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO

Armas del CISO Actual. OWASP Venezuela OWASP Uruguay

Especialidades en GII-TI

MECANISMOS FUERTES DE AUTENTICACIÓN CIRCULAR 042 DE 2012 SUPERINTENDENCIA FINANCIERA

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información

Haga clic para cambiar el estilo de título. Curso de Seguridad de la Información. Haga clic para cambiar el estilo de título

Accenture Aspectos Corporativos de Data Privacy y Compliance

PERFIL PROFESIOGRÁFICO PARA IMPARTIR LAS ASIGNATURAS DE LA LICENCIATURA EN INFORMÁTICA (PLAN DE ESTUDIOS 2005)

Introducción a la Seguridad Informática

Su camino hacia la nube privada

Maestría en Seguridad Informática. Jorge Ezequiel, Bo Hugo Pagola Alberto Dums

WAPITI. Escaner de vulnerabilidades de aplicaciones web y auditor de seguridad. VI OWASP Spain Chapter Meeting

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM

PROGRAMA DE CERTIFICACIÓN DE GESTIÓN EN ABASTECIMIENTO, ALMACENES Y DISTRIBUCIÓN

Los contenidos se valorarán en función de los conceptos adquiridos, los procedimientos aprendidos y las actitudes desarrolladas en las clases.

Afinación y Rendimiento de Bases de Datos

Seguridad Gestionada, más allá de lo perimetral Infraestructuras Seguras en los Sistemas de Información Financieros

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

Oracle Database 12c: Administración de Data Guard

Prefacio 5 Colaboradores..6 Introducción.7. Parte I GESTIÓN DEL RIESGO: LA BASE PARA LA SEGURIDAD FÍSICA

UNIVERSIDAD CATÓLICA DE SANTIAGO DE GUAYAQUIL DIPLOMADO INTERNACIONAL EN SEGURIDAD INFORMÁTICA CON CERTIFICACIÓN ISO 27001

FACULTAD DE INGENIERÍA

Estudio, diseño y evaluación de protocolos de autentificación para redes inalámbricas

JAVA 7 Los fundamentos del lenguaje Java

Álvaro PayTrue

Cómo desarrollar aplicaciones más seguras?

TEMARIO. Introducción o Las evaluaciones de seguridad o El hacker ético o Metodología de ataque o Entregables o Bibliografía

Bootcamp de Certificación 2015

TEMARIO. Unidad 1.- Distinción de la normatividad del derecho informático.

Guía Docente: Guía Básica. Datos para la identificación de la asignatura. Escuela de Ingeniería Informática Grado en Ingeniería Informática

MONITORIZACIÓN Y VIGILANCIA COMO ELEMENTOS CLAVE EN LA PREVENCIÓN DEL DELITO

Segurinfo NOA Seguridad en el desarrollo de aplicaciones Web

Desarrollo de software seguro: una visión con OpenSAMM

ADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN. Ing. Mg. Miguel Ángel Valles Coral.

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes Director de desarrollo. S2 Grupo 12 de Mayo, 2011

ORGANISMO COORDINADOR DEL SISTEMA ELÉCTRICO NACIONAL INTERCONECTADO DE LA REPÚBLICA DOMINICANA

ANEXO 11: ESTÁNDARES RECONOCIDOS PARA LA ACREDITACIÓN

Avance del Proyecto Arcasa. Proyecto de Grado 2007 Instituto de Computación Facultad de Ingeniería UdelaR Montevideo - Uruguay

Web Services. Richard Rossel 23 de noviembre de Web Services

IoT - Internet of Things.

SOFTWARE PARA LA GESTION DE SISTEMAS DE CALIDAD DESARROLLADO POR

Pruebas de Intrusión de Aplicación

Telefónica Soluciones SOC Grandes Clientes. Seguridad desde la Red

TEMARIO. Linux Básico - Intermedio >>DURACIÓN DEL CURSO 40 HRS

Concientización en Seguridad

La necesidad de construir software seguro

Cómo desarrollar una Arquitectura de Red segura?

Desarrollo Seguro usando OWASP

Transcripción:

PROGRAMACIÓN SEGURA Introducción a la seguridad de la información: se presenta la seguridad en relación a los proyectos de desarrollo de software y los conceptos fundamentales a tener en cuenta para el abordaje de los temas avanzados. Aplicaciones y vulnerabilidades: definiciones, clasificación y métricas de las vulnerabilidades del software, y búsqueda de vulnerabilidades como tarea profesional. Diseño de software seguro: procesos de diseño seguro, interconectividad, modelado de amenazas, arquitecturas de aplicación y técnicas aplicables. Tipos de ataques al software: presentación de los distintos tipos de ataques, escenarios de existencia, ejemplos, protecciones y propuestas de mitigación ante cada uno. Criptografía: usos de la criptografía en el contexto del software. Procedimientos y técnicas seguras, uso de algoritmos y protocolos de cifrado confiables. Análisis de código fuente: revisión estática y dinámica de código, uso de herramientas, técnicas ofensivas Seguridad en Aplicaciones Web: técnicas específicas de seguridad ofensiva aplicadas a plataformas y arquitecturas web. Estándares, herramientas y técnicas de defensa. Software Testing: tipos de testing, técnicas utilizadas, evaluaciones de seguridad en software, generación y contenido de informes. Governance, Risk and Compliance (GRC): regulaciones y cumplimiento, propiedad intelectual, notificación de brechas, estándares y mejores prácticas, y gestión de riesgos

asociados al software. Procesos finales de gestión del software: Software Acceptance y riesgo, adquisición de software y supply chain, gestión de vulnerabilidades, deployment, operación y retiro. 12. Cronograma de clases Temario por clase Clase 1 Introducción al software seguro Evolución de la Seguridad Informática Proyectos de desarrollo de software Estadísticas y métricas mensuales Conceptos Fundamentales o Confidencialidad, Integridad y Disponibilidad o Autenticación y Autorización o Accounting y No repudio o Privacidad: Anonimización de datos y consentimiento de usuario o Defensa en profundidad o Atacantes: perfiles, objetivos y operatoria Principios de diseño seguro o Mínimo privilegio o Código limpio - KISS o Mantenimiento y actualización de recursos externos o Cifrado de comunicaciones o Requerimientos para nuevas funcionalidades o Data at rest o Documentación de cambios o Separación de tareas o Falla segura o Economía de mecanismo o Mediación completa o Diseño abierto o Mecanismo menos común o Aceptabilidad psicológica o Eslabón más débil

o Soporte de componentes heredados Metodologías de Desarrollo Estándares de Programación Segura o SEI (Software Engineering Institute) CERT Secure Coding Standards o Oracle Secure Coding Guidelines for Java SE o Apple Secure Coding Guide o Mozilla WebAppSec / Secure Coding Guide o Microsoft Secure Coding Guidelines Requerimientos del software seguro Fuentes de requerimientos y descomposición de políticas Requerimientos internos y externos Clasificación y categorización de datos Requerimientos funcionales y operacionales Clase 2 Aplicaciones y vulnerabilidades Definición de vulnerabilidad Tipos de vulnerabilidades Bug hunting Mercado de vulnerabilidades Reporte y divulgación ética de vulnerabilidades Bases de datos de vulnerabilidades Common Vulnerability Scoring System (CVSS) o Enumeración de vulnerabilidades o CVSS versión 2 o CVSS versión 3 o Ejemplos prácticos Seguridad en el canal de comunicación o Secure Socket Layer o Transport Layer Security o Vulnerabilidades conocidas o Mejores prácticas de implementación Diseño de software seguro Procesos de diseño seguro

o Evaluación de superficie de ataque o Modelado de amenazas o Identificación y priorización de controles o Documentación Consideraciones de diseño o Métodos de recuperación o Autenticación multi factores o Interconectividad o Interfaces de gestión de seguridad o Gestión de identidades Arquitectura de aplicación o Sistemas distribuidos o Service-Oriented Architecture (SOA) o Rich Internet Applications (RIA) o Pervasive computing o Integración con arquitecturas existentes o Software as a Service (SaaS) Tecnologías disponibles o Autenticación y gestión de identidades o Gestión de credenciales o Control de flujos de red o Auditoría y logs o Protección de datos, DLP y seguridad en bases de datos o Entornos y ambientes operativos o Digital Rights Management (DRM) o Integridad y firmado de código Clase 3 Ataques de inyección Comandos o Escalación de privilegios o Ejemplos de ataque y defensa o Propuestas de mitigación SQL o Blind SQL Injection o Implicancias de seguridad o Herramientas de automatización de ataques (SQLMap) o Ejemplos de ataque y defensa o Propuestas de mitigación

Sanitización de datos de entrada y salida Prácticas y controles defensivos o Concurrencia o Configuración o Manejo de errores o Logging & Auditoría o Gestión de sesiones o Gestión de excepciones o APIs seguras o Seguridad de tipos o Gestión de memoria o Gestión de parámetros de configuración o Tokenización o Sandboxing o Anti-tampering Clase 4 Broken Authentication and Session Management Cross-Site Scripting (XSS) o Reflejado o Persistente o Ejemplos de ataque y defensa o Propuestas de mitigación o Detección en Aplicaciones Web Seguridad en Aplicaciones Web Conceptos específicos Modelos de ataque en aplicaciones web Herramientas defensivas o Web Application Firewalls (WAF) o Distributed Web Honeypots Herramientas ofensivas o Web scanners o Security proxies o Web Fuzzers

Clase 5 Insecure Direct Object References Security Misconfiguration o Servidor de aplicaciones y Servidor Web o Servidor de Base de datos o Definición y mantenimiento de recursos externos Sensitive Data Exposure o Manejo Seguro de Errores o Comentarios en código productivo o Habilitación de funciones de DEBUG en producción o Exposición de arquitectura / plataforma Clase 6 Missing Function Level Access Control Cross-Site Request Forgery (CSRF) o Ejemplos de ataque y defensa o Mitigación: Políticas de navegadores (Same origin policy) y CSRF Token Uso de componentes con vulnerabilidades conocidas Redirecciones y reenvíos no validados Buffer overflow o Ejemplos de ataque y defensa o Propuestas de mitigación Clase 7 Criptografía Aplicaciones y usos Tipos de algoritmos criptográficos Cifrado simétrico y asimétrico Funciones hash Funciones de encripción Cifrado vs. Encoding Esteganografía

Mejores prácticas Cifrado de datos sensibles y Data at rest Firma digital Public Key Infrastructure (PKI) Usos de criptografía en programación Protocolos y estándares Clase 8 Herramientas de análisis Análisis estático de código o Automático: Asserts y Unit Testing o Manual: Comprensión de código y Peer review Análisis dinámico de código o Debugging o Ingeniería inversa Frameworks de búsqueda de vulnerabilidades o Aplicaciones Web o Utilización de memoria RAM Clase 9 Web Application Security Consortium (WASC) W3C Web Application Security Working Group Open Web Application Security Project (OWASP) o Development Guide o Top 10 o Testing Guide o Code Review Guide o Developers Cheat Sheets o Application Security Verification Standard (ASVS) o Enterprise Security API (ESAPI) o Otros proyectos OWASP Clase 10 Software Testing

Artefactos de testing o Testing y Quality Assurance (QA) o Testing funcional y no funcional (confiabilidad, rendimiento y escalabilidad) o Security Testing o Entornos: Bug tracking, defectos, errores y vulnerabilidades o Validación de superficie de ataque o Estándares Tipos de testing específico o Penetration testing o Fuzzing o Scanning o Simulación o Fallas: Fault Injection, Stress Testing y Break Testing o Validación criptográfica o Regresión o Testing continuo Penetration Testing o Concepto y definiciones o Tipos de evaluaciones o Metodología de evaluación o Testeo interno vs externo Clase 11 Informe de revisión Presentación de informe o Destinatarios o Contenido mínimo o Resumen ejecutivo o Detalles técnicos Tipos de informe o Interno o Externo Governance, Risk and Compliance (GRC) Regulaciones y cumplimiento Propiedad intelectual Notificación de brechas Estándares y mejores prácticas

Gestión de riesgos BSIMM: Building Security In Maturity Model Clase 12 Software Acceptance Pre-Release y Pre-Deployment o Completion Criteria: Documentación, DRP y BCP Aceptación del riesgo Post-Release o Validación y Verificación: FIPS y Common Criteria o Testing independiente Adquisición de software y supply chain Supplier Risk Assessment o Reutilización de código o Propiedad intelectual o Cumplimientos legales Fuentes de proveedores o Controles de integridad contractual o Controles de integridad técnica de vendors o Managed Services o Service Level Agreements (SLAs) Desarrollo y pruebas o Controles técnicos o Testing de código y verificación o Controles de testing de seguridad o Requisitos de verificación y validación Software Delivery, operaciones y mantenimiento o Cadena de custodia o Publicación y controles de diseminación o Integración de sistemas o Autenticidad e integridad de productos o Desarrollo de productos y controles sostenidos o Monitoreo y gestión de incidentes o Gestión de vulnerabilidades

Transición de proveedores Deployment, operación y retiro Instalación y Deployment o Bootstrapping: Key Generation, acceso y gestión o Gestión de configuración: privilegios elevados, hardening y cambio de plataforma o Gestión de versiones Operaciones y mantenimiento o Monitoreo de métricas, auditorías y SLA o Gestión de incidentes, problemas y cambios o Backup, Recovery y Archiving Software disposal y retiro o Políticas de fin de ciclo de vida o Decommissioning

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback