Tendencias en Seguridad y Control en Aplicaciones
Lucio Augusto Molina FocazzioLucio Augusto Molina FocazzioCertified information Systems Auditor - CISACertified Information Security Manager – CISMCobiT Accredited TrainerCobiT Accredited TrainerConsultor en Auditoría de Sistemas y Seguridad de la Información
Agenda
Introd cción
ge da
Introducción
Riesgos en las Aplicaciones
El SDLC y los beneficios de Integrar la Seguridad en el Ciclo
Fases de la seguridad en el Ciclo de Desarrollo de Software
ConclusionesConclusiones
Agendage da
Riesgos en lasRiesgos en lasAplicacionesp
Vulnerabilidades relacionadas con lasVulnerabilidades relacionadas con las aplicaciones
10 Mayores Riesngos para la Seguridad en las Aplicaciones
Injection Cross‐Site Scripting (XSS)
Broken Authentication and SessionManagement
Insecure Direct Object References
Cross‐ Suite Request Forgery (CSRF) Security Misconfiguration
Insecure Cryptographic Stoprage Failure to Restrict URL Access
Insufficient Transportt Layer Protection Unvalidated Redirects and Forwards
Revisión del
RequerimientosDe seguridad
Revisión delDiseño
Revisión delCódigo
Pruebas de Penetración
g
Requerimientos y casos de uso Diseño Plan de Pruebas Códificación Pruebas Retroalimentación
Análisis de Pruebas a laAnálisis de Riesgos
Pruebas a laSeguridad
Agendage da
El SDLC l b fi i dEl SDLC y los beneficios de Integrar la Seguridad en el Ciclog g
Beneficios de Integrar la SeguridadBeneficios de Integrar la Seguridaden el SDLC
• Identificacion y mitigación oportuna de• Identificacion y mitigación oportuna de vulnerabilidades y malas configuraciones
• Bajo costo en la implementacion de controles y mitigacion de vulnerabilidades
• Identificacion de servicios de seguridad compartidos• Estrategias de reuso de herramientas para reducir• Estrategias de reuso de herramientas para reducircostos y programaciones
• Mejoramiento de la seguridad mediante el uso de
8 Confidential
j gtecnicas y métodos probados
Beneficios de Integrar la SeguridadBeneficios de Integrar la Seguridaden el SDLC
• Decisiones informadas a traves de una adecuada• Decisiones informadas a traves de una adecuadagestion de riesgos
• Documentacion de la seguridad durante el desarrollo• Mejoramiento de la confianza de las organizacion y los usuarios para facilitar la adopcion y uso
• Mejoramiento en la interoperabilidad e integracion• Mejoramiento en la interoperabilidad e integracionque de otra manera podría generar obstáculosmediante el aseguramiento de los sistemas a variosi l
9 Confidential
niveles
Agendage da
F d l id d l Ci lFases de la seguridad en el Ciclode Desarrollo de Software
Fases del SDLCFases del SDLC• Inicio y estudio de Factibilidad
• Definicion de requerimientos
• Diseño Funcional• Diseño Funcional
• Diseño técnico y construcción de la solución
• Verificación
• Implementación
• Mantenimiento y Seguimiento
Fases del SDLC “con Seguridad”F 1 I i i• Fase 1. Inicio
• Fase 2: Desarrollo / Adquisición
• Fase 3: Implementacion / Valoración
• Fase 4: Operación / MantenimientoFase 4: Operación / Mantenimiento
• Fase 5: Disposición
12 Confidential
NIST SP 800-64
Integración de Controles dentro del gSoftware (CoBiT)
Adquirir e Implementar Soluciones
Identificar Soluciones
Adquirir y mantener el Swde Aplicación
Adquirir y Mantener la
Infraestructura tecnológica
Establecer la Operación y el
Uso
Procurar Recursos de TI
Gestionar cambios
Instalar y Acreditar
Soluciones y cambios
Identificar Obj, de control
Diseñar controles de
Construir y configurar
Documentar controles y entrenar a
Probar y Aprobar los controlescontrol
relevantes Aplicacion controlesy entrenar a los usuarios
Fase 1. Inicio1. Involucramiento de los dueños del negocio
2. Documentar la Arquitectura Empresarial
3. Indentificar y especificar las politicas y leyes aplicables
4. Desarrollar los Objetivos de Confidencialidad, Integridad y Disponibilidad
5. Categorizacion de la Seguridad en los Sistemas de Información y en la InformacionInformación y en la Informacion
6. Desarrollar especificaciones de Procurement
7 Análisis Preliminar de Riesgos
14 Confidential
7. Análisis Preliminar de Riesgos
Phase 1: InitiationPhase 1: Initiation
Relating security considerations
15 Confidential
Fase 2 Adquisición / DesarrolloFase 2. Adquisición / Desarrollo1. Análisis de Riesgos
2 Seleccion de linea base de controles de seguridad2. Seleccion de linea base de controles de seguridad
3. Refinamiento de las linea base de los controles de seguridadseguridad
4. Diseño de los Controles de Seguridad
5 Análisis de Costos y reporte5. Análisis de Costos y reporte
6. Planeación de la seguridad
7 P b i i l i d l i ió d16 Confidential
7. Pruebas unitarias y evaluacion de la integración de la seguridad
Phase 2: Acquisition / Developmentq / p
Relating security considerations
17 Confidential
Fase 3 Implementación / ValoraciónFase 3. Implementación / Valoración1. Inspección y aceptacion del Producto /componentes
2 Ontegracion de los controles de seguridad2. Ontegracion de los controles de seguridad
3. Guia Administrativa / Usuario
4 P b l id d d l Si t l d4. Prureba a la seguridad del Sistema y plan de evaluacion
5 Certificación del Sistema5. Certificación del Sistema
6. Determinación del Riesgo residual
7 A di ió d l S id d18 Confidential
7. Acreditación de la Seguridad
Phase 3: Implementation / Acquisitionp / q
Relating security considerations
19 Confidential
Fase 4: Operación / MantenimientoFase 4: Operación / Mantenimiento1. Gestión de la Configuración, control de cambios y
auditoríaauditoría
2. Monitoreo Continuo
3. Recertificación
4. Reacreditación
5. Gestión de Incidentes
6. Auditoría
7. Detección y Monitoreo de Intrusos
20 Confidential
8. Prueba del Plan de Contingencias (incluyendo plan de operacion y continuidad)
Phase 4: Operations / Maintenancep /
Relating security considerations
21 Confidential
Fase 5: DisposiciónFase 5: Disposición
l ó d l ( d l1. Planeación de la Transicion (migracion del nuevo sistema)
2. Disposición de Componentes
3. Saneamiento de medios
4. Archivo de Informacion asegurando la preservacion de la informacion
22 Confidential
preservacion de la informacion
Phase 5: Sunset (Disposition)( p )
Relating security considerations
23 Confidential
Agendage da
Conclusiones
C l iConclusiones• El seguimiento al Ciclo de Vida del desarrollo gde Sistemas incrementa la probabilidad de éxito del proyectop y
• Incluir la seguridad durante el SDLC trae economías importanteseconomías importantes
• Para incluir la seguridad en la aplicación se combinan estándares y mejores prácticascombinan estándares y mejores prácticas como ISO 27001, CoBiT, ITIL, NIST y BS25999
Preguntas????egu tas????
GRACIAS