Seguridad en el SW 1
Índice Seguridad en el SW Retos Problemas Soluciones Herramientas Conclusiones 2
Índice Seguridad en el SW Retos Problemas Soluciones Herramientas Conclusiones 3
Retos Octubre Rojo Objetivo AA. PP. Activo desde 2007. Detectado en 2012. Desmantelados C&C. Ataques dirigidos. 4
Retos Malware para dispositivos móviles Usbattack Troyano para dispositivos Android. Se hace pasar por herramienta (DroidCleaner) que permite limpiar y acelerar el dispositivo. La aplicación puede propagarse a un ordenador si el usuario lo conecta al móvil por USB. Uso de dispositivos móviles 5
Retos Previsión fuente: World Economic Forum Informe de riesgos globales 2013 6
Índice Seguridad en el SW Retos Problemas Soluciones Herramientas Conclusiones 7
Problemas Principales problemas de seguridad en aplicaciones de las AA. PP. Poca formación incluso en equipos en desarrollo seguro de SW Ejemplo del nivel de madurez en desarrollo seguro del equipo de desarrollo de INTECO: 8
Problemas Principales problemas de seguridad en aplicaciones de las AA. PP. No inclusión de la seguridad en el Ciclo de Vida de Desarrollo Costes de resolución de fallos en función del momento en el que se detectan: 9
Índice Seguridad en el SW Retos Problemas Soluciones Herramientas Conclusiones 10
Soluciones Propuestas de mejora de la seguridad en aplicaciones de las AA. PP. Mejorar la capacitación de los equipos de desarrollo de SW Formación en desarrollo seguro de aplicaciones. Cursos adhoc empresas especializadas. CSSLP (Certified Secure Software Lifecycle Professional) (ISC) 2. GSSP (GIAC Secure Software Programmer) SANS Institute. Certified Secure Programmer EC-Council. Software Security Engineering Certification Security University. Formación en hacking ético. Cursos adhoc empresas especializadas. CEH (Certified Ethical Hacker) EC-Council. Formación general en seguridad informática: Cursos adhoc empresas especializadas. CISSP (Certified Information Systems Security Professional) (ISC) 2. 11
Soluciones Propuestas de mejora de la seguridad en aplicaciones de las AA. PP. Inclusión de la seguridad en el ciclo de vida clásico del desarrollo de software Fuente: Microsoft 12
Soluciones Propuestas de mejora de la seguridad en aplicaciones de las AA. PP. Inclusión de la seguridad en el ciclo de vida del desarrollo ágil de software Formación en seguridad Diseño seguro Codificación segura Uso de estándares 24 h 14-28 d Product Backlog Sprint Backlog Entregable Revisión de seguridad al final de cada sprint Todos los requisitos de seguridad del sprint se han cumplido. Ningún requisito ha excedido el plazo de tiempo inicialmente establecido. El entregable no debe incluir fallos de privacidad o seguridad. Cada sprint debe incluir diseño, planificación, verificación y documentación de las tareas. 13
Índice Seguridad en el SW Retos Problemas Soluciones Herramientas Conclusiones 14
Herramientas Integración de la seguridad en un sistema de calidad Inclusión de la seguridad en el ecosistema de desarrollo de software de INTECO Entorno de Integración Continua commit Monitoriza cambios informes commit Responsables de los servicios release build commit Control de versiones despliegue despliegue Desarrolladores Entornos de funcionamiento Repositorio de artefactos 15
Índice Seguridad en el SW Retos Problemas Soluciones Herramientas Conclusiones 16
Conclusiones Importancia de la aplicación de la seguridad en el desarrollo de software Aumento de la formación y capacitación de los desarrolladores de código. Uso de metodologías, herramientas y procedimientos preventivos, además de las clásicas técnicas reactivas de seguridad (auditorías). Elevado coste económico y temporal en la subsanación de fallos de seguridad detectados de forma tardía. Identificación y minimización de riesgos de seguridad en la elección de la arquitectura software del proyecto. Se puede descubrir vulnerabilidades en el análisis de software open source mediante herramientas de seguridad y colaborar con la comunidad en la subsanación de los mismos. 17
Muchas gracias por su atención