LECCIONES APRENDIDAS: LLEVANDO LA
SEGURIDAD AL SIGUIENTE NIVEL EN UNA
SOFTWARE HOUSE
OWASP LATAM TOUR 2013, MONTEVIDEO
Gerardo Canedo
@GerardoMCanedo
Sobre mi …
o
10+ años Desarrollo
o
5 años Arquitecto
o
3 años vinculado a Seguridad
o
Soluciones de Software a Clientes
o
Desarrollo con GeneXus
Aquellos viejos tiempos …
o
Usuarios
o
Roles
o
Filtro datos
o
Botones habilitados por Rol
Aquellos viejos tiempos …
1.
El cliente tiene un Firewall
2.
La aplicación se publicaba en SSL (Internet)
3.
La aplicación no es accesible desde Internet
4.
La seguridad es un trabajo de Infraestructura
5.
Seguidad es un Gasto
6.
Nunca tuvimos problemas
Hasta que …
¿Cómo seguimos?
Siguiente Nivel
Equipo de
Seguridad
Buenas
Prácticas
Aseguramiento
de la Seguridad
Concientizar
Capacitación
Equipo de Seguridad
o
Profesionales en Seguridad
o
Multidisciplinario
o
Gestión
o
Desarrollo
o
Test
Capacitación
o
Cursos y Posgrados
Concientizar
Buenas prácticas
Análisis
de
Riesgos
Revisión
de Código
Test de
Seguridad
Buenas prácticas
Análisis
de
Riesgos
Revisión
de Código
Test de
Seguridad
Análisis de Riesgos del Negocio
o
o
Determinar las amenazas para el
negocio
Ayuda a determinar los controles a
incorporar con el presupuesto
destinado
Análisis de Riesgos de la Arquitectura
Buenas prácticas
Análisis
de
Riesgos
Revisión
de Código
Test de
Seguridad
¿Qué es GeneXus?
Desarrollo
Modelo GeneXus
Especificador
Código Intermedio
Ruby
Ejecución
Revisión de Código
Revisión
Modelo GeneXus
Especificador
Código Intermedio
Ruby
GeneXus Security Scanner
o
http://wiki.gxtechnical.com/commwiki/servlet/hwiki?Securit
y+Scanner+extension+user+manual
GeneXus Security Scanner
Buenas prácticas
Análisis
de
Riesgos
Revisión
de Código
Test de
Seguridad
Test de Seguridad
Modelo GeneXus
Especificador
Código
Código Intermedio
Intermedio
Ruby
Pruebas
Autenticación y Autorización
Autenticación y Autorización
Mínima superficie de exposición
•
•
•
•
•
Aplicación
Pruebas
Objetos Viejos
Artefactos Test
Inicializaciones
Aplicación
Test de Seguridad
Test de Pentración
o
o
Aplicación Segura en ambiente de
ejecución Seguro.
Realizado por equipo independiente
a la construcción.
Lecciones aprendidas
o
La seguridad no se elige
o
Trasciende lo técnico
o
Equipo de Seguridad
o
Responsabilidad de todos
o
Capacitación continua
o
Se construye por medio de
actividades en el desarrollo
¡MUCHAS GRACIAS!
Gerardo Canedo
[email protected]
@GerardoMCanedo
Descargar

Llevando la seguridad al siguiente nivel en una Software