De Secure SDLC a SecDevOps. Mario Robles

Documentos relacionados
La necesidad de construir software seguro

Desarrollo de software seguro: una visión con OpenSAMM

Seguridad en el desarrollo

Iniciativas Existentes El modelo SAMM Aplicación de SAMM Niveles y Actividades SAMM SAMM en el mundo real Proyecto OpenSAMM AppSec Latam 2011

Armas del CISO Actual. OWASP Venezuela OWASP Uruguay

Crear software seguro como objetivo de la Dirección

Pruebas de Seguridad Continuas para DevOps

Herramientas de OWASP para Tes3ng de Seguridad. Mateo Mar8nez Voluntario Capítulo OWASP Uruguay h"ps://

Evolución de la estrategia de seguridad de la información basada en indicadores. Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte

Primeras Jornadas de Seguridad Web OWASP DAY ARGENTINA 2010

OWASP y el cumplimiento normativo: PCI-DSS y PA-DSS OWASP. The OWASP Foundation

Cómo mejorar la seguridad de las aplicaciones?

SISTESEG Seguridad y Continuidad para su Negocio

Usando OWASP para cumplir PCI-DSS

La OWASP Foundation y los objetivos del capítulo español OWASP 16/6/2006. The OWASP Foundation

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Álvaro PayTrue

Seguridad en los procesos de negocio: herramientas para una gestión integral del riesgo Gabriel Marcos Product Manager

Penetration Test Metodologías & Usos

Visual Studio Team System

OWASP Chile recibe el LatamTour Carlos Allendes Droguett Líder del Capítulo Chileno OWASP. Móvil

Estándares Internacionales

OWAND de septiembre de 2011 Cádiz (España) The OWASP Foundation

Auditoría de Redes EJERCICIOS MÓDULO I. Carmen R. Cintrón Ferrer, , Derechos Reservados

Desarrollo ágil con Scrum y Visual Studio 2005 Team System

La Evolución de la Seguridad en Aplicaciones de Pago

Julio César Ardita 12 de Septiembre de 2012 Buenos Aires - Argentina

XI Encuentro Danysoft Sala TFS. Descubriendo TFS

Administración electrónica en Defensa y Seguridad RSA, La División de Seguridad de EMC

Curso: Mejores Prácticas de Auditoría Interna

OWASP Day Costa Rica

PCI DSS: Data Security Standard. Noviembre 09 Evento Política digital

Técnico Certified Software Engineer Professional (CSIP)

La suite QualysGuard Security and Compliance incluye:

Seguridad en Aplicaciones Web Control de vulnerabilidades y regulaciones

Métricas para la Seguridad de las Aplicaciones. MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A.

Introducción al análisis automático de la seguridad de aplicaciones web

Un modelo abierto de ciberseguridad! Puede ayudar en Latinoamérica?!

La fundación OWASP y la formación del capítulo Chileno. Carlos Allendes Droguett Líder del Capítulo Chileno OWASP

Su aplicación es segura? Demuéstraselo al auditor ASVS:Application Security Verification Standard

PCI DSS: Las leyes de Seguridad de VISA y Mastercard

Implementación de soluciones Waters Labs Informatics Casos de estudio

Estrategia de éxito para escalar Testing Agile en grandes corporaciones. 8 de junio de 2016

La Virtualización como concepto básico en El Gobierno de IT

Presentada por: Lic. Pablo G. Milano CISSP / QSA / PA-QSA

RESILIENCIA DEL SOFTWARE ENFOCADO DESDE EL MODELO CERT-RMM

Seguridad en el Ciclo de Desarrollo

Cómo abordar una transformación a CLOUD

Software security assurance Software seguro desde el origen

Seguridad Gestionada, más allá de lo perimetral Infraestructuras Seguras en los Sistemas de Información Financieros

Cómo gestionar la calidad en una Software Factory más allá de las Pruebas Jordi Borja Director General Borland Ibérica

Proyecto Introducción, Objetivos y Alcance

La madurez de los servicios TI. de los servicios. La Gestión n de Servicios de TI (ITSM) Antoni Lluís s Mesquida, Antònia Mas, Esperança Amengual

Borland Open ALM Solución Abierta para Automatizar CMMI

Planificación TI con Rational Focal Point

Calidad y Seguridad en la programación de aplicaciones

Mejores prácticas de Seguridad de la Información aplicadas a la Banca Móvil. Oscar Tzorín Superintendencia de Bancos de Guatemala

Migrar al Cloud Asegurar alineación al negocio

Gestionando y asegurando tu infraestructura Cloud

AUDITORIAS PCI 1 : OBJETIVO Y ALCANCE.

Nuestra Organización. 2 Áreas Geográficas 8 Zonas de Negocio 20 oficinas de Negocio. 4 Divisiones de Solutions & Tech Services

HP COSTA RICA R&D CENTER

Implementación de Procesos Business Process Management BPM Services Oriented Architecture SOA

Ing. Oscar Acevedo. Julio/2014

Francisco Mauri Director de Software Group IBM México & Centroamérica

PRESENTACIÓN CORPORATIVA

2. Administración de Proyectos en el contexto de TI

Programación de código seguro

Testing Software S.A

Seguridad en medios de pagos

Productos y servicios de IBM Internet Security Systems

decir que GCP Global es una empresa que vende seguridad IT, sería como decir que Miguel Ángel pintaba techos

Gestión de Riesgos en la Nube (Gestionando los riesgos y la privacidad de su plataforma en la nube) Asobancaria Octubre 2 de 2013

XII JICS 25 y 26 de noviembre de 2010

documentación Los beneficios de la integración Monitoreo de la integración de archivos con SIEM

Security Intelligence & Big Data

Global Business Services. Claves para la implantación de un Sistema de Gestión Documental: demostración práctica.

Security Operations Center construir o contratar?

Tendencias en Seguridad y Control en Aplicaciones

INGENIERÍA DE SOFTWARE Rational Unified Process RUP

Preparado por:

PCI-DSS Experiencias prácticas

Servicios de Consultoría en Operaciones y Tecnología de TI. Marzo 2013

Desarrollo Seguro: Principios y Buenas Prácticas. Por Cesar R. Cuenca

Nuevos modelos de servicios Cloud Impacto en la seguridad

n u e v o s p a r a d i g m a s... n u e v a s s o l u c i o n e s.

Sistema de Gestión n de la Seguridad de la Información

HP Server Automation Premium

The IBM Software Story

Viviendo en las nubes Mesa Redonda

SISTEMAS DE GESTION EN SALUD Y SEGURIDAD OCUPACIONAL OHSAS Occupational Health and Safety Management Systems

Vendiendo Visual Studio 2010

Soluciones Telelogic para Software Factories

VER, ENTENDER Y PROTEGER

Generar cumplimiento norma/vo en la ges/ón de usuarios privilegiados y el control de datos en el DataCenter. Ernesto Pérez, CISSP, CISM, ITIL

Core Banking Transformation. Cómo agilizar el Core para adaptarse más rapidamente a las necesidades del negocio

Beneficios del Uso de Modelos de Madurez

Developing Security for you. Ing. Camilo Fernández Consultor en Seguridad Informática

Presentación: Quién es ALAPSI Noreste? Asociación Latinoamericana de Profesionales en Seguridad de Información

Hacking Ético: Cacería de Vulnerabilidades OWASP LATAM TOUR 2015

Transcripción:

De Secure SDLC a SecDevOps Mario Robles

Mario Robles Fundador WhiteJaguars Cyber Security OWASP Costa Rica Board member desde 2011 Líder del proyecto OWASP Pyttacker Colaborador en: OWASP Testing Guide, OWASP Top 10, OWASP ASVS +14 años experiencia en Information Security +300 Pentests realizados +50 Capacitaciones brindadas en AppSec +1300 apps AppSec program Tech Lead Global scope: LATAM, CAN, US, Iberia, UK, NZ, AU, IN, Russia mario.robles@whitejaguars.com +506 7012-8363

Introducción Tradicionalmente los modelos de desarrollo han evolucionado hacia tendencias ágiles lo cual representa un reto para procesos estructurados que fueron diseñados en el pasado La seguridad no es la excepción

SDLC Tradicional Requirements Design Un ejemplo clásico de modelo de SDLC es el Waterfall Implementation Testing Deployment Maintenance

Secure SDLC Requirements Regulatory compliance Policies Industry Requirements Design Threat Modeling Architecture Reviews Security Advisements Implementation Code Reviews IDE Tools Training Testing Static Analysis Dynamic Testing Interactive Testing En el Secure SDLC, se adapta la seguridad en cada fase del modelo Deployment Hardening guidelines Network assessments Maintenance Regulatory compliance Third party Pentesting Industry Requirements

Requerimientos Requirements Regulatory compliance Policies Industry Requirements Cumplimiento Regulatorio FISMA FCRA HIPAA SOX PCI-DSS Ley de Protección de Datos 8968

Requerimientos Requirements Regulatory compliance Policies Industry Requirements Políticas Internas o Externas Política de Seguridad Interna de la Compañía Estándares internos de desarrollo seguro Requerimientos de clientes o socios comerciales

Requerimientos Requirements Regulatory compliance Policies Industry Requirements Requerimientos de la Industria Bancos Gobierno Comercio Electrónico

Diseño Design Threat Modeling Architecture Reviews Security Advisements Modelado de Amenazas Inicia de forma macro y se amplia de forma iterativa a lo largo del ciclo de desarrollo

Diseño Design Threat Modeling Architecture Reviews Security Advisements Revisiones de Arquitectura Funciona de manera menos abstracta que el modelado de amenazas

Diseño Design Threat Modeling Architecture Reviews Security Advisements Asesorías de Seguridad Equipo interno de AppSec Consultores externos (Third party)

Implementación Implementation Code Reviews IDE Tools Training Revisiones de Código No es muy difundido debido a que incluye trabajo manual que requiere de mucho tiempo, sin embargo puede ser requerido por clientes en algunos casos

Implementación Implementation Code Reviews IDE Tools Training Herramientas en el IDE Detección en tiempo real de malas prácticas de desarrollo incluyendo problemas de seguridad

Implementación Implementation Code Reviews IDE Tools Training Entrenamientos Programas de capacitación internos Herramientas elearning

Pruebas Testing Static Analysis Dynamic Testing Interactive Testing Static Application Security Testing (SAST) Involucra el uso de herramientas automatizadas para el análisis tanto del código fuente como de archivos binarios compilados

Pruebas Testing Static Analysis Dynamic Testing Interactive Testing Dynamic Application Security Testing (DAST) Herramientas automatizadas especializadas en la detección de vulnerabilidades conocidas para plataformas web

Pruebas Testing Static Analysis Dynamic Testing Interactive Testing Interactive AppSec Testing Nueva generación de herramientas capaces de detectar ataques directamente en el tiempo de ejecución

Deployment Deployment Hardening guidelines Network Assessments Guías de Hardening Procedimientos documentados para la normalización de los procesos de implementación o instalación de entornos para las aplicaciones

Deployment Deployment Hardening guidelines Network Assessments Evaluaciones de Seguridad en la infraestructura El uso de herramientas especializadas en la detección de vulnerabilidades de forma general en la infraestructura de redes previene exponer riesgos no relacionados con las aplicaciones

Mantenimiento Maintenance Regulatory compliance Third party Pentesting Industry Requirements Cumplimiento Regulatorio FISMA Acceso restringido a información federal FCRA Certificación de todos los empleados HIPPA Política de retención 8 años SOX Política de retención 5 años PCI-DSS 90 días RP, External Pentest, ASV, etc

Mantenimiento Maintenance Regulatory compliance Third party Pentesting Industry Requirements Proveedores de Pentesting Aún cuando muchas empresas poseen una organización interna de seguridad, en muchos casos son los clientes quienes solicitan que las evaluaciones de seguridad sean realizadas por un tercero que sea imparcial

Mantenimiento Maintenance Regulatory compliance Third party Pentesting Industry Requirements Requerimientos de la Industria Bancos: Pentest externo cada 6 meses, reportes de herramientas SAST Gobierno: SUFEG, COBIT Comercio Electrónico: PCI-DSS PCI-DSS: Approved Scanning Vendors (ASV)

SecDevOps DevSecOps SecDev DevOps SecOps Secure SDLC? Agile model? Blue Team, SOC? Secure DevOps o Development SecOps?

SecDevOps DevSecOps Secure SDLC Development DevOps Security Operations SecOps

SecDevOps DevSecOps Dev Ops Secure SDLC División Trabajo Manual Lento Estructurado SecDevOps Colaboración Automatización Rápido Ágil

The key is automation

SecDevOps -> CI/CD Define Code Version Control Build Test Package Repo UAT Production Development IDE Tools Security Guidelines Continuous Integration SAST, IAST Security Regression Tests Issue Tracking Continuous Delivery DAST, IAST Vulnerability Scans Issue Tracking

De Secure SDLC a SecDevOps Requirements Design Implementation Testing Deployment Maintenance Regulatory compliance Threat Modeling Code Reviews Static Analysis Hardening guidelines Regulatory compliance Policies Architecture Reviews IDE Tools Dynamic Testing Network assessments Third party Pentesting Industry Requirements Security Advisements Training Interactive Testing Industry Requirements Define Code Version Control Build Test Package Repo UAT Production Development IDE Tools Security Guidelines Continuous Integration SAST, IAST Security Regression Tests Issue Tracking Continuous Delivery DAST, IAST Vulnerability Scans Issue Tracking Es SecDevOps el reemplazo de Secure SDLC?

Cómo iniciar desde cero? Al inicio la tarea puede parecer abrumadora, mi recomendación es definir un roadmap alineado a un modelo de madurez de aseguramiento de software y enfocarse en micro procesos BSIMM Building Security in Maturity Model OpenSAMM Open Software Assurance Maturity Model OWASP ASVS AppSec Verification Standard

mario.robles@whitejaguars.com Móvil: +(506) 7012-8363 US +1 (732) 481-2777 CR +(506) 2234-8596

mario.robles@whitejaguars.com Móvil: +(506) 7012-8363 US +1 (732) 481-2777 CR +(506) 2234-8596

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback