Seguridad en el Ciclo de Desarrollo



Documentos relacionados
Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

Privacidad y Protección de la Información, Mito o Realidad

Information Security Network Management Solutions

Gestión de riesgo operacional

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Ciber-ataques en la Industria y sus Oportunidades

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Impacto del ENS: Propuesta Oracle

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

ITIL Administración y Control de Proyectos II

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre Juan Carlos Serrano Antón

Administración de Centros de Computo. ITIL. MSG.ING. DARWIN CERCADO B dcercado@primma.com.ec

Basado en la ISO 27001:2013. Seguridad de la Información

IRONWALL Grupo MNEMO. Fernando García Vicent Director General. Zona para Logotipo organización (es)

TITULO. Gobernabilidad de TI & Seguridad de la Información

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

SOLUCIONES TECNOLÓGICAS FLEXIBLES PARA LAS NECESIDADES DE SU NEGOCIO

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Gestión de la Seguridad de Activos Intelectuales

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

Sistema de Administración del Riesgos Empresariales

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA

CAS-CHILE S.A. DE I. 2013

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

Desarrollo Seguro: Principios y Buenas Prácticas. Por Cesar R. Cuenca

Bootcamp de Certificación 2015

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

Ing. Nicolás Serrano

Administración de Riesgos. Reglas Prudenciales en Materia de Administración de Riesgos

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

Carrera: SCE Clave de la asignatura: 4-0-8

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Gestión del Servicio de Tecnología de la información

Seguridad Gestionada, más allá de lo perimetral Infraestructuras Seguras en los Sistemas de Información Financieros

Factores en el mercado de seguridad TI en la protección de la información y los accesos remotos

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

La Administración n de Servicios ITIL. Noviembre, 2006

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRC

Política de Gestión de Incidentes de Seguridad de la Información

Venciendo a la Pesadilla de la Gestión de Usuarios

Gestión de riesgo operacional

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

OWASP Seguridad de Acceso a Datos David Sutherland Socio Consultor Datactiva. dsutherland@datactiva.cl

Pruebas de Intrusión de Aplicación

Seguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

METODOLOGIAS DE AUDITORIA INFORMATICA

1 GLOSARIO. Actor: Es un consumidor (usa) del servicio (persona, sistema o servicio).

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Administración y Control de Proyectos II. Sergio Martinez

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento

G.UA.01 Guía del dominio de Uso y Apropiación

Administración electrónica en Defensa y Seguridad RSA, La División de Seguridad de EMC

Sistemas de información Hacia una Cultura del Control. Pereira 2011

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

Procedimiento de Gestión de Incidentes de Seguridad de la Información

Gestión de Seguridad Informática

"IT Governance" Diciémbre 06, Copyright 2004 Rendón&Asociados Derechos Reservados.

Seguridad en Sistemas y Redes de Computadoras. Módulo 3: Seguridad de las operaciones. Carlos A. Rojas Kramer UCC

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Sistemas de gestión en servicios de TI (UNIT ISO/IEC )

La Administración n de Servicios ITIL

Día 22, Almacenamiento seguro Alta Seguridad para entornos de almacenamiento departamental

Monitoreo de Plataformas TI. de Servicios

MS_80221 Installation and Configuration for Microsoft Dynamics AX 2012

Recursos HELP DESK Biblioteca 2012

Mestrado em Tecnologia da Informação. Segurança da Informação

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

Gestión de la configuración en el software (SCM) Ingeniería de software Eduardo Ferreira, Martín Solari

Norma Técnica Peruana:

CATALOGO DE SERVICIOS

CAPITULO 14 SEGURIDAD EN LA RED

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

FORMACIÓN CURSO Salvaguarda y seguridad de los datos

Seguridad de la Información & Norma ISO27001

WHITE PAPER. Aranda 360 ENDPOINT SECURITY CORRESPONDENCIA CON LA CIRCULAR EXTERNA 052 DE 2007 SUPERINTENDENCIA FINANCIERA DE COLOMBIA

Antes de imprimir este documento piense en el medio ambiente!

Manual de Procedimientos

Custodia de Documentos Valorados

Seguridad de la Información

Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"

El estado del arte de la Seguridad Informática

Improving performance, reducing risk. Proceso de Actualización Normas de Sistemas de Gestión ISO 9001 de Calidad ISO de Medio Ambiente

PROCESS INTELLIGENCE. Análisis de rendimiento para procesos de negocios

Transcripción:

First OWASP DAY Chile 2010 The OWASP Foundation http://www.owasp.org Seguridad en el Ciclo de Desarrollo Alejandro Johannes M. Business Advisor Vice president Capítulo Chileno OWASP ajohannesm@gmail.com +(569)8 662 4049 OWASP Guide Temario Evolución TI en las Organizaciones Capítulo: Principios de Codificación Segura en SDLC Contexto y referencias OWASP Modelo de Protección de la Información Principios para Aplicaciones Seguras desde el Diseño Flujo Modelo Amenazas Ejemplos 2 1

OWASP Guide Guía para construir aplicaciones y servicios WEB seguros Varios editores, autores, directores de proyecto (40 aproximadamente.) Publicación gratuita y abierta a interesados en mejorar la seguridad de aplicaciones Conjunto de definiciones, alertas, vulnerabilidades y buenas prácticas. No impone, pero sugiere Copyright 2002-2005. The Open Web Application Security Project (OWASP). Todos los derechos reservados. Se concede permiso para copiar, distribuir y / o modificar este documento siempre que se incluya este aviso de derechos de autor y se mantenga la atribución a OWASP. Evolución de las TI en las Organizaciones APPLICATION & PROJECT ARCHIT. MGNT QUALITY & SERVICE PQM LEVEL APP VENDORS & OUTS. MGNT CAPACITY PLANNING TECHNICAL OPERATIONS Claramente una aplicación se encuentra en un entorno que corresponde a la realidad y nivel de madurez que tiene La Empresa en sus procesos de negocio y soporte. BUSINESS INFORMATION CONTINUITY SECURITY PLANNING PROBLEM & CHANGE INCIDENT $ Nivel de Madurez Inicial Definir Donde quiero Estar?? De Madurez De Integracion De Control Contagio Crecer en los Niveles de Madurez requiere mayores niveles de inversión de las organizaciones en TI y aceptar que ésta representa un área de soporte estratégico al Negocio Tiempo / Volúmenes Ref.: Extacto de Richard Nolan, Profesor de la escuela de negocios de Harvard 2

Capítulo: Principios de Codificación Segura en SDLC La elección de una metodología de desarrollo no es tan importante como el simple hecho de poseer una. El desarrollo Ad hoc no es lo suficiente estructurado para producir aplicaciones seguras. Elegir la metodología adecuada. Considerar: Complejidad: puede sobreburocratizar identificando demasiados roles diferentes Fuerte aceptación de diseño, testeo y documentación Espacios donde se puedan insertar controles de seguridad (tales como análisis de riesgo de amenazas, revisiones por parte de pares, revisiones de código, etc.) Que funcione para el tamaño y nivel de madurez de la organización Tenga potencial de reducir tasa actual de errores y de mejorar la productividad de los desarrolladores. Contexto y Referencias OWASP Los principios de seguridad tales como confidencialidad, integridad, y disponibilidad aunque son importantes, amplios y vagos no cambian OWASP propicia: Adoptar un Modelo de Riesgo de Amenazas: Microsoft / Trike / CVSS / AS4360 / y Octave Mejores prácticas de mercado: CobIT / ISO 27001 / ISO 17799 / PCI / SOX Una gestión organizacional que abogue por la seguridad Políticas de seguridad documentadas y apropiadamente basadas en estándares nacionales-internacionales Una metodología de desarrollo con adecuados puntos de control y actividades de seguridad Gestión segura de versiones y configuración Lograr un SDL : Security Development Lifecycle 3

ROLES Y FUNCIONES APLICA- CIONES INFORMA- INFOR- ADOPTED REVISIÓN SYSVAL MACIÓN INDEPEN- BIBLIO- USUARIOS USERS DIENTE TECAS DDM ACCESOS JOBD Y MONITOREO CLIENT ACLs ACCESS SQL FTP CONTROL CONTROL DE CAMBIOS RECURSOS Y VULNERABI- MONITOREO LIDADES RELACIÓN USUARIOS APLICA- CIONES Principios para Aplicaciones Seguras desde el Diseño Análisis de Riesgos Identificación de amenazas, revisión de pares, revisiones de código, Fuerte aceptación de diseño, testeo, Ethical Hacking, documentación, etc Clasificación de Activos: La selección de controles sólo es posible después de clasificar los datos a proteger tales como Datos, Código SW, Configuración FW Orientación arquitectura (p.ej. la capa Web no debe llamar a la base de datos directamente, Aislar Producción de Desarrollo con Firewall) Niveles mínimos de documentación requerida Requerimientos de testeo mandatorios (inspecciones, Ethical Hacking, comprobar en el tiempo Niveles mínimos de comentarios entre código y estilo de comentarios preferidos Manejo de excepciones Control de integridad del código fuente 4

Principios para Aplicaciones Seguras desde el Diseño La arquitectura de seguridad empieza el día en que se modelan los requisitos del negocio, y no termina nunca hasta que la última copia de su aplicación es retirada Seguridad por defecto (p.ej. estructura passwords, valores sistemas, continuidad operativa,..) Principio del mínimo privilegio Fallos de manera segura Los sistemas externos son inseguros: la confianza implícita de ejecutar sistemas externos, no está garantizada Segregación de Funciones: Identificar funciones sensibles No confiar la seguridad en la oscuridad, sino hacer lo contrario Incorporar bitácoras: Logs, Journals, prender los Audit journals, y disponer de un mecanismo de su revisión. Principio de NO-Repudiación Ej.: Identificación y Autenticación / Reputación / Financiero / Privacidad / Garantías, SLA / Estándares / Continuidad Operativa / Minimizar Fraudes / etc Flujo Modelo Amenazas Identificar Objetivos de Seguridad Revisión Aplicación Ej.: Servidor / Lenguaje, Motor BdD, s.o. / Router, redes / Backups, Retención, Recuperación / Autenticación / Repairs Identificar Vulnerabilidade s Descomponer Aplicación Ej.: Disponibilidad operativa / Hackers / Error digitación / Extracción Datos / Robo / Legales / Pérdida confidencialid Identificar y Documentar Amenazas 5

PLANIFICAR SEGÚN MODELO DE LOS PROCESOS DE SEGURIDAD Administración de Problemas e Incidentes Seguridad Administración Acceso Red, Mail, Internet Control Vulnerabilidades y Alertas de Mercado Control de Cambios Infor- mación Revisión Independien te y Monitoreos Administración Usuarios/Acces os Administración Acceso Físico y Control Ambiental Uso y Control Claves Privilegiadas Disponibilida d y Continuidad Operativa Ejemplo, Análisis de Protección : Usuarios VULNERABILIDADES Propietario no definido Clasificación ids por funciones Administración usuarios (password default, grupos, accesos directos, expiración, ids privilegiados) Programas con escalamiento de privilegios Etc USUARIOS CONTROLES DE PROTECCIÓN ACTIVOS DE INFORMA- CIÓN 6

Ejemplo, Análisis de Protección : Accesos VULNERABILIDADES Procedimientos y metodología (nomenclatura, clasificación, control de cambios, privilegio usuarios, revisión journals) Datos de Producción no encriptados usados en Areas de Desarrollo, Testing u otros Cxs remotas, filtros, ftp, Userids privilegiados sin control, configuración Routers Tareas programadas desprotegidas. Etc ACCESOS CONTROLES DE PROTECCIÓN ACTIVOS DE INFORMA- CIÓN Se inicia y logra con el compromiso y responsabilidad del Top Management 7

8

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback