SlideShare una empresa de Scribd logo

QA and Security Testing in the SDLC

Roger CARHUATOCTO, profile picture
Roger CARHUATOCTO

Este documento propone un enfoque sistémico y holístico para la calidad y seguridad en los procesos de desarrollo de software. Actualmente, la seguridad se enfoca principalmente en pruebas de seguridad del producto final y corrección de vulnerabilidades, en lugar de prevenir problemas desde las primeras etapas del desarrollo. El documento argumenta que se debe considerar todos los elementos como personas, software, hardware e información, y centrarse en mejorar la seguridad en cada etapa del ciclo de vida del desarrollo de software us

Tecnología
Related topics:
Quality AssuranceSoftware Development Process
1 de 13
1
2
3
4
5
6
7
8
9
10
11
12
13
Calidad y Seguridad en Procesos de Desarrollo de Software Roger Carhuatocto <roger.carhuatocto@in2.es> IN2-Ingeniería de la Información www.IN2.es GOS4i / IN2, Ingeniería de la Información GOS4i / IN2, Ingeniería de la Información – 2005
Objetivos • Reflexión sobre problema de la seguridad en las organizaciones y cómo se están resolviendo. • Énfasis en el Proceso de Desarrollo de Sofware (Preventivo) • Énfasis en las metodologías de aseguramiento de la calidad y seguridad en procesos de desarrollo de software como actividad preventiva. [2] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Situación actual - Análisis • Seguridad reactiva – Antivirus – IDS – Firewall – Honeypots, etc.. • Mucho testing, pentest, análisis de vulnerabilidades, poca Ingeniería. – El Testing de Seguridad es usado para identificar vulnerabilidades sobre Producto Final. – Ejm: Nessus – Se soluciona los “bugs”, no el origen de ellos • ¿Dónde está el origen de los problemas? – Se usa enfoque reductivo, no holístico (enfoque sistémico) al resolver el problema de Seguridad • Debilidad en el Sistema de Gestión de Seguridad – Personas – Software, Hardware y otro tipo de infraestructura – Procesos de Negocio – Información – ¿Cuál es el elemento más débil? • La seguridad no se ajusta a dónde se enfocan las actuales soluciones [3] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Replanteando el problema:Enfoque Sistémico • Busquemos el Origen del Problema de la Seguridad • Usar un nuevo enfoque. • Enfoque Sistémico del Problema de la Seguridad (Enfoque Holístico) – Considerar todos los elementos: Personas, SW, HW, Información, Red, etc. – Nos centramos en el elemento que nos interesa, el Software. Es el elemento más débil? – Análisis del Proceso de Desarrollo SW en lugar del Producto resultante – Definir acciones(seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW [4] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Enfoque Sistémico: Conclusiones • Sólo estamos tomando acciones preventivas sobre el producto final (testing de seguridad) • Estamos descuidando la seguridad en otras etapas del Desarrollo de SW • Existen elementos externos al proceso de Desarrollo de SW que se deben considerar, ellos proporcionan ayuda en la prevención: – Sistemas de Gestión de la Calidad – Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente, Facturación, Contabilidad, etc. – Recomendaciones y Metodologías – Herramientas y Técnicas • Bugtracking • CVS • Wiki • Nmap, Nessus, etc…. • Testing tools, etc… [5] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Campos de Acción de QA y Security Desarrollo de Software y Seguridad Aplicaciones Preventiva Sistemas de Gestión Seguridad Lógica Procesos Negocio Networking, Seguridad Sistemas e Reactiva Infraestructura [6] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Revisión del Ciclo de vida del Software Análisis Diseño Construcción Transición •Se define el “Qué?” •Se define el “Cómo?” •Construcción, integración y testing •A producción •Qué aporta Seg. a Negocio? •Objetivos: •Interactivo •La seguridad aparece •Prototipeo •Plan Operativo •Herramientas: •Diseño de Sistema •Monitorización •Requerimientos •Diseño de Objetos •Respuesta a incidentes •Analisis Func y No-Func. •Diseño de Componentes •Casos de Uso •Herramientas: •CRC Cards: •Class, Responsibility, Collaboration •Diagrama de Secuencias y Clases •Definición Servicios Comunes: •Logging, Security, Exception, Etc. •Modelamiento de Amenazas por Casos de Uso •Patrones de Diseño Funcional •Patrones de Diseño de Seguridad (por Amenazas) •Input Validator Pattern •Aspect Oriented Programming •Exception Manager Pattern •Secure Logger Pattern MÉTODOS, HERRAMIENTAS Y TÉCNICAS: QA & SECURITY [7] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Enfoque Sistémico • Enfoque Sistémico del Problema de la Calidad-Seguridad en el Desarrollo de SW (Enfoque Holístico) Calidad Total – Considerar todos los elementos: Personas, SW, HW, Forma de gestión de una organización centrada en la Información, Red, etc. calidad basada en la participación de todos sus – Nos centramos en el elemento que nos interesa (Diagrama miembros y que apunta al éxito a largo plazo por deParetto). Es Software el elemento más débil? medio de la satisfacción del cliente y a proporcionar beneficios para todos los miembros de la organización – Análisis del Proceso de Desarrollo SW en lugar del Producto resultante, extendible a otros elementos externos y para la sociedad. del proceso – El objetivo: definir acciones (seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW Ext Ext – La Seguridad es un tipo de Calidad • Herramientas: Proveedor Proceso Producto Cliente – Sistemas de Gestión de la Calidad – Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente, Facturación, Contabilidad, etc. – Recomendaciones y Metodologías – Herramientas y Técnicas • Bugtracking • CVS, Wiki • Nmap, Nessus, etc…. • Testing tools, etc… [8] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
ROI en Security Software [9] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Aplicando “Pareto”: El Software, el punto más débil [10] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Metodologías y Estándares • De Seguridad – http://www.fistconference.org/data/presentaciones/estandaresymetodologiasdeseguridad.pdf – Conferencias FIST, Nov. 2003 – Vicente Aceituno • Generales – Anexo-Estandares-QA-SEC_RCARHUATOCTO-v1.pdf [11] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Conclusiones Finales • Enfoque Sistémico (Holísitico) • Aplicable a todo el proceso de desarrollo de SW, incluye a la etapa de toma de requerimientos • Usar Metodologías y Estándares de propósito general y de seguridad [12] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
Referencias Alan Cox on writing better software By Basheera Khan - Thursday, 07 October 2004 http://www.pingwales.co.uk/software/cox-on-better-software.html Dire Straits The evolution of software opens new vistas for business... and the bad guys. April 2004, By GARY MCGRAW & GREG HOGLUND http://infosecuritymag.techtarget.com/ss/0,295796,sid6_iss366_art684,00.html Introduction to Software Security Date: Nov 2, 2001 By Gary McGraw, John Viega. http://www.awprofessional.com/articles/printerfriendly.asp?p=23950 Centro de Desarrollo Microsoft Seguridad http://www.microsoft.com/spanish/msdn/centro_recursos/security/default.asp [13] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software

Más contenido relacionado

PDF
Calidad y Seguridad en Procesos de Desarrollo de Software
Conferencias FIST
 
DOCX
Guia para desarrollo de software seguro
Jesus Manuel Gilbert Castro
 
PPT
Curso de Ingeniería de Software - Capítulo 1
Eddie Malca
 
PPTX
Tecnicas y herramientas para el desarrollo de software
Yenifer Bravo
 
PDF
Trabajo analisisriesgo22
Yesslyn Sarmiento
 
PPTX
Ciclo de vida
Feibert Alirio Guzmán Pérez
 
PDF
Modelos de desarrollo seguro de software
Facultad de Informática UCM
 
PPTX
Requisitos de software
Magister de Ingeniería de Sistemas mención Ingeniería de Software
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Conferencias FIST
 
Guia para desarrollo de software seguro
Jesus Manuel Gilbert Castro
 
Curso de Ingeniería de Software - Capítulo 1
Eddie Malca
 
Tecnicas y herramientas para el desarrollo de software
Yenifer Bravo
 
Trabajo analisisriesgo22
Yesslyn Sarmiento
 
Ciclo de vida
Feibert Alirio Guzmán Pérez
 
Modelos de desarrollo seguro de software
Facultad de Informática UCM
 
Requisitos de software
Magister de Ingeniería de Sistemas mención Ingeniería de Software
 

La actualidad más candente (20)

PPTX
Unidad 1 Ingenieria de software
Jahiro Bojorquez
 
PPT
Tarea8
Jonathan Barrera
 
PDF
Paradigmas
Victor Zapata
 
PPTX
Mirla montano
Mirla Montaño
 
PPTX
Principales areas parte1
Andres1dz
 
PPTX
Enfoque de auditoria veru y feibert
Feibert Alirio Guzmán Pérez
 
PPTX
Controles de desarrollo de Software
Santander David Navarro
 
PPTX
90 PREGUNTAS DE ANALISIS Y DISEÑO DE SISTEMAS 1
AndrezMendozaMelendr
 
PPTX
Gestión de proyectos gestión de proyectos de software
Sebastian Dominguez Garrido
 
PPTX
Técnicas y Herramientas para el Desarrollo de Sistemas de Información
BriRodriguez
 
PPTX
Introduccion a la auditoria de sistemas de informacion complemento
ingenierocj
 
PDF
Software configuration managment
Magister de Ingeniería de Sistemas mención Ingeniería de Software
 
PPTX
Metodologías de diseño y desarrollo de sistemas de información
Jose Martinez
 
PPTX
metricas de software si-504
Karl T Orihuela
 
PPTX
Las Claves para Gestionar Proyectos de Sistemas de Información
Solutions DAT
 
PPTX
Gestión de riesgo
Cristian Villalva
 
PPT
Métricas del proceso y proyecto - Procesos de Ingeniería de software
Galo Lalangui
 
PPTX
Analisis y gestion_de_riesgos
Anahi Flores
 
PPT
Unidad uno ingenieria de software
sonygodoyhortua
 
PDF
Conceptos I Sw
Gustavo Martínez Villalobos
 
Unidad 1 Ingenieria de software
Jahiro Bojorquez
 
Tarea8
Jonathan Barrera
 
Paradigmas
Victor Zapata
 
Mirla montano
Mirla Montaño
 
Principales areas parte1
Andres1dz
 
Enfoque de auditoria veru y feibert
Feibert Alirio Guzmán Pérez
 
Controles de desarrollo de Software
Santander David Navarro
 
90 PREGUNTAS DE ANALISIS Y DISEÑO DE SISTEMAS 1
AndrezMendozaMelendr
 
Gestión de proyectos gestión de proyectos de software
Sebastian Dominguez Garrido
 
Técnicas y Herramientas para el Desarrollo de Sistemas de Información
BriRodriguez
 
Introduccion a la auditoria de sistemas de informacion complemento
ingenierocj
 
Software configuration managment
Magister de Ingeniería de Sistemas mención Ingeniería de Software
 
Metodologías de diseño y desarrollo de sistemas de información
Jose Martinez
 
metricas de software si-504
Karl T Orihuela
 
Las Claves para Gestionar Proyectos de Sistemas de Información
Solutions DAT
 
Gestión de riesgo
Cristian Villalva
 
Métricas del proceso y proyecto - Procesos de Ingeniería de software
Galo Lalangui
 
Analisis y gestion_de_riesgos
Anahi Flores
 
Unidad uno ingenieria de software
sonygodoyhortua
 
Conceptos I Sw
Gustavo Martínez Villalobos
 
Publicidad

Similar a QA and Security Testing in the SDLC (20)

PPT
Development of Secure Applications
Roger CARHUATOCTO
 
PPT
Security in off-shore Application Development
Conferencias FIST
 
PDF
QA and Security in Development Process
Roger CARHUATOCTO
 
PPTX
Método cascada
mariacebu
 
PPTX
Método cascada
mariacebu
 
PPTX
Sandra collaguazo ca 9 6
sandrasc1989
 
PPTX
Adquisicion e implementacion
Emy Cajilema
 
DOCX
Seguridad en el ciclo de desarrollo del software
Anel Sosa
 
DOC
Programa ing software_i_2012-ii
Oscar Eduardo
 
PPT
03 proceso de desarrollo de software
EPN Escuela Politécnica Nacional
 
ODP
MEDEA contada a los alumnos de Grado de Ingeniería Informática
Sección de Metodologías, Normalización y Calidad del Software
 
PDF
Documentos 3 y 4
Personal El Guabo
 
PPT
Ingenieria de Software
em3marquez
 
PPTX
Modelo en cascada
Yeni Marrone
 
PPTX
Modelo en cascada
Yeni Marrone
 
PPTX
Aplicaciones seguras
Universidad Cenfotec
 
PPTX
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
eccutpl
 
PDF
Calidad del software para futuros ingenieros
Jorge Marquez
 
PPTX
Adquisición e implementación
Mireya España Sandoval
 
PPTX
Auditoria+de+la+seguridad
Paook
 
Development of Secure Applications
Roger CARHUATOCTO
 
Security in off-shore Application Development
Conferencias FIST
 
QA and Security in Development Process
Roger CARHUATOCTO
 
Método cascada
mariacebu
 
Método cascada
mariacebu
 
Sandra collaguazo ca 9 6
sandrasc1989
 
Adquisicion e implementacion
Emy Cajilema
 
Seguridad en el ciclo de desarrollo del software
Anel Sosa
 
Programa ing software_i_2012-ii
Oscar Eduardo
 
03 proceso de desarrollo de software
EPN Escuela Politécnica Nacional
 
MEDEA contada a los alumnos de Grado de Ingeniería Informática
Sección de Metodologías, Normalización y Calidad del Software
 
Documentos 3 y 4
Personal El Guabo
 
Ingenieria de Software
em3marquez
 
Modelo en cascada
Yeni Marrone
 
Modelo en cascada
Yeni Marrone
 
Aplicaciones seguras
Universidad Cenfotec
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
eccutpl
 
Calidad del software para futuros ingenieros
Jorge Marquez
 
Adquisición e implementación
Mireya España Sandoval
 
Auditoria+de+la+seguridad
Paook
 
Publicidad

Más de Roger CARHUATOCTO (20)

PPTX
[Webinar] Creando un "backend" con WSO2
Roger CARHUATOCTO
 
PPTX
[Webinar] SOA ágil con WSO2
Roger CARHUATOCTO
 
PPTX
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
Roger CARHUATOCTO
 
PDF
Comparativa de Suites BPM free open source (v1.0-20110721)
Roger CARHUATOCTO
 
PDF
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Roger CARHUATOCTO
 
PDF
BizLife - Construyendo un Ecosistema Empresarial usando WSO2
Roger CARHUATOCTO
 
PDF
Chakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Roger CARHUATOCTO
 
PDF
Introducción a la gestión de contenidos web con Liferay Portal 6.1.x
Roger CARHUATOCTO
 
PDF
WSO2Con 2013 - WSO2 as a Crypto Platform
Roger CARHUATOCTO
 
PDF
Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Roger CARHUATOCTO
 
PPTX
Fast building Vertical Portals: e-Learning and Social Network
Roger CARHUATOCTO
 
PPT
03 webinar content_deliveryplatform_v1.0-intix
Roger CARHUATOCTO
 
PPT
01 webinar caso_migracion_portalweb_v1.4.1-intix
Roger CARHUATOCTO
 
PPT
02 webinar gestion_expedientes_v0.6.1-intix
Roger CARHUATOCTO
 
PPT
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Roger CARHUATOCTO
 
PDF
1st Peruvian It Security Workshop Flyer
Roger CARHUATOCTO
 
PDF
PKI Aplicada V1.3
Roger CARHUATOCTO
 
PDF
Calidad y Seguridad en el SDLC V1 4
Roger CARHUATOCTO
 
PDF
Intrusion Detection System V1.2
Roger CARHUATOCTO
 
PDF
Digital Forensics V1.4
Roger CARHUATOCTO
 
[Webinar] Creando un "backend" con WSO2
Roger CARHUATOCTO
 
[Webinar] SOA ágil con WSO2
Roger CARHUATOCTO
 
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
Roger CARHUATOCTO
 
Comparativa de Suites BPM free open source (v1.0-20110721)
Roger CARHUATOCTO
 
Orquestando Procesos de Negocio de manera ágil con Bonita BPM (v1.0)
Roger CARHUATOCTO
 
BizLife - Construyendo un Ecosistema Empresarial usando WSO2
Roger CARHUATOCTO
 
Chakray.com - Enterprise Security and IAM with WSO2IS and Penrose
Roger CARHUATOCTO
 
Introducción a la gestión de contenidos web con Liferay Portal 6.1.x
Roger CARHUATOCTO
 
WSO2Con 2013 - WSO2 as a Crypto Platform
Roger CARHUATOCTO
 
Drupal camp2010bcn cmis-drupal_alfresco-v1.1
Roger CARHUATOCTO
 
Fast building Vertical Portals: e-Learning and Social Network
Roger CARHUATOCTO
 
03 webinar content_deliveryplatform_v1.0-intix
Roger CARHUATOCTO
 
01 webinar caso_migracion_portalweb_v1.4.1-intix
Roger CARHUATOCTO
 
02 webinar gestion_expedientes_v0.6.1-intix
Roger CARHUATOCTO
 
Drupal Camp2010 Bcn Cmis Drupal Alfresco V1 1
Roger CARHUATOCTO
 
1st Peruvian It Security Workshop Flyer
Roger CARHUATOCTO
 
PKI Aplicada V1.3
Roger CARHUATOCTO
 
Calidad y Seguridad en el SDLC V1 4
Roger CARHUATOCTO
 
Intrusion Detection System V1.2
Roger CARHUATOCTO
 
Digital Forensics V1.4
Roger CARHUATOCTO
 

Último (20)

PPTX
Presentación de Redes de Datos modelo osi
FernandoCabrera177238
 
PDF
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
PDF
Tips de Seguridad para evitar clonar sus claves del portal bancario.pdf
saberpublicidadsas
 
PDF
PRESENTACIÓN GENERAL MIPIG - MODELO INTEGRADO DE PLANEACIÓN
CLAUDIAPATRICIASALAZ19
 
PDF
capacitación de aire acondicionado Bgh r 410
MiriamVargas760642
 
PDF
Ronmy José Cañas Zambrano - Potenciando la tecnología en Venezuela.pdf
ronmyjosecanaszambra
 
DOCX
Zarate Quispe Alex aldayir aplicaciones de internet .docx
alexaldayirzaratequi
 
PDF
Instrucciones simples, respuestas poderosas. La fórmula del prompt perfecto.
Espanhol Online
 
PPTX
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
PDF
Diapositiva proyecto de vida, materia catedra
mpruiz3
 
PPTX
COMO AYUDAN LAS TIC EN LA EDUCACION SUPERIOR.pptx
ap3377309
 
PDF
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
PPT
introduccion a las_web en el 2025_mejoras.ppt
CesarCcamaZenteno
 
PPTX
Historia Inteligencia Artificial Ana Romero.pptx
adairrojas2
 
PPTX
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
PDF
Maste clas de estructura metálica y arquitectura
juancarlos542581
 
PDF
TRABAJO DE TECNOLOGIA.pdf...........................
IsabellaReyesPerea
 
PPTX
RAP01 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
PDF
clase auditoria informatica 2025.........
KatherineMundaca1
 
PDF
CyberOps Associate - Cisco Networking Academy
VICTOR MAESTRE RAMIREZ
 
Presentación de Redes de Datos modelo osi
FernandoCabrera177238
 
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
Tips de Seguridad para evitar clonar sus claves del portal bancario.pdf
saberpublicidadsas
 
PRESENTACIÓN GENERAL MIPIG - MODELO INTEGRADO DE PLANEACIÓN
CLAUDIAPATRICIASALAZ19
 
capacitación de aire acondicionado Bgh r 410
MiriamVargas760642
 
Ronmy José Cañas Zambrano - Potenciando la tecnología en Venezuela.pdf
ronmyjosecanaszambra
 
Zarate Quispe Alex aldayir aplicaciones de internet .docx
alexaldayirzaratequi
 
Instrucciones simples, respuestas poderosas. La fórmula del prompt perfecto.
Espanhol Online
 
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
Diapositiva proyecto de vida, materia catedra
mpruiz3
 
COMO AYUDAN LAS TIC EN LA EDUCACION SUPERIOR.pptx
ap3377309
 
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
introduccion a las_web en el 2025_mejoras.ppt
CesarCcamaZenteno
 
Historia Inteligencia Artificial Ana Romero.pptx
adairrojas2
 
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
Maste clas de estructura metálica y arquitectura
juancarlos542581
 
TRABAJO DE TECNOLOGIA.pdf...........................
IsabellaReyesPerea
 
RAP01 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
clase auditoria informatica 2025.........
KatherineMundaca1
 
CyberOps Associate - Cisco Networking Academy
VICTOR MAESTRE RAMIREZ
 

QA and Security Testing in the SDLC

  • 1. Calidad y Seguridad en Procesos de Desarrollo de Software Roger Carhuatocto <roger.carhuatocto@in2.es> IN2-Ingeniería de la Información www.IN2.es GOS4i / IN2, Ingeniería de la Información GOS4i / IN2, Ingeniería de la Información – 2005
  • 2. Objetivos • Reflexión sobre problema de la seguridad en las organizaciones y cómo se están resolviendo. • Énfasis en el Proceso de Desarrollo de Sofware (Preventivo) • Énfasis en las metodologías de aseguramiento de la calidad y seguridad en procesos de desarrollo de software como actividad preventiva. [2] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 3. Situación actual - Análisis • Seguridad reactiva – Antivirus – IDS – Firewall – Honeypots, etc.. • Mucho testing, pentest, análisis de vulnerabilidades, poca Ingeniería. – El Testing de Seguridad es usado para identificar vulnerabilidades sobre Producto Final. – Ejm: Nessus – Se soluciona los “bugs”, no el origen de ellos • ¿Dónde está el origen de los problemas? – Se usa enfoque reductivo, no holístico (enfoque sistémico) al resolver el problema de Seguridad • Debilidad en el Sistema de Gestión de Seguridad – Personas – Software, Hardware y otro tipo de infraestructura – Procesos de Negocio – Información – ¿Cuál es el elemento más débil? • La seguridad no se ajusta a dónde se enfocan las actuales soluciones [3] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 4. Replanteando el problema:Enfoque Sistémico • Busquemos el Origen del Problema de la Seguridad • Usar un nuevo enfoque. • Enfoque Sistémico del Problema de la Seguridad (Enfoque Holístico) – Considerar todos los elementos: Personas, SW, HW, Información, Red, etc. – Nos centramos en el elemento que nos interesa, el Software. Es el elemento más débil? – Análisis del Proceso de Desarrollo SW en lugar del Producto resultante – Definir acciones(seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW [4] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 5. Enfoque Sistémico: Conclusiones • Sólo estamos tomando acciones preventivas sobre el producto final (testing de seguridad) • Estamos descuidando la seguridad en otras etapas del Desarrollo de SW • Existen elementos externos al proceso de Desarrollo de SW que se deben considerar, ellos proporcionan ayuda en la prevención: – Sistemas de Gestión de la Calidad – Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente, Facturación, Contabilidad, etc. – Recomendaciones y Metodologías – Herramientas y Técnicas • Bugtracking • CVS • Wiki • Nmap, Nessus, etc…. • Testing tools, etc… [5] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 6. Campos de Acción de QA y Security Desarrollo de Software y Seguridad Aplicaciones Preventiva Sistemas de Gestión Seguridad Lógica Procesos Negocio Networking, Seguridad Sistemas e Reactiva Infraestructura [6] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 7. Revisión del Ciclo de vida del Software Análisis Diseño Construcción Transición •Se define el “Qué?” •Se define el “Cómo?” •Construcción, integración y testing •A producción •Qué aporta Seg. a Negocio? •Objetivos: •Interactivo •La seguridad aparece •Prototipeo •Plan Operativo •Herramientas: •Diseño de Sistema •Monitorización •Requerimientos •Diseño de Objetos •Respuesta a incidentes •Analisis Func y No-Func. •Diseño de Componentes •Casos de Uso •Herramientas: •CRC Cards: •Class, Responsibility, Collaboration •Diagrama de Secuencias y Clases •Definición Servicios Comunes: •Logging, Security, Exception, Etc. •Modelamiento de Amenazas por Casos de Uso •Patrones de Diseño Funcional •Patrones de Diseño de Seguridad (por Amenazas) •Input Validator Pattern •Aspect Oriented Programming •Exception Manager Pattern •Secure Logger Pattern MÉTODOS, HERRAMIENTAS Y TÉCNICAS: QA & SECURITY [7] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 8. Enfoque Sistémico • Enfoque Sistémico del Problema de la Calidad-Seguridad en el Desarrollo de SW (Enfoque Holístico) Calidad Total – Considerar todos los elementos: Personas, SW, HW, Forma de gestión de una organización centrada en la Información, Red, etc. calidad basada en la participación de todos sus – Nos centramos en el elemento que nos interesa (Diagrama miembros y que apunta al éxito a largo plazo por deParetto). Es Software el elemento más débil? medio de la satisfacción del cliente y a proporcionar beneficios para todos los miembros de la organización – Análisis del Proceso de Desarrollo SW en lugar del Producto resultante, extendible a otros elementos externos y para la sociedad. del proceso – El objetivo: definir acciones (seguridad preventiva) en cada etapa del Proceso de Desarrollo de SW Ext Ext – La Seguridad es un tipo de Calidad • Herramientas: Proveedor Proceso Producto Cliente – Sistemas de Gestión de la Calidad – Otros procesos de negocio (no de Desarrollo de SW) como Atención al Cliente, Facturación, Contabilidad, etc. – Recomendaciones y Metodologías – Herramientas y Técnicas • Bugtracking • CVS, Wiki • Nmap, Nessus, etc…. • Testing tools, etc… [8] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 9. ROI en Security Software [9] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 10. Aplicando “Pareto”: El Software, el punto más débil [10] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 11. Metodologías y Estándares • De Seguridad – http://www.fistconference.org/data/presentaciones/estandaresymetodologiasdeseguridad.pdf – Conferencias FIST, Nov. 2003 – Vicente Aceituno • Generales – Anexo-Estandares-QA-SEC_RCARHUATOCTO-v1.pdf [11] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 12. Conclusiones Finales • Enfoque Sistémico (Holísitico) • Aplicable a todo el proceso de desarrollo de SW, incluye a la etapa de toma de requerimientos • Usar Metodologías y Estándares de propósito general y de seguridad [12] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software
  • 13. Referencias Alan Cox on writing better software By Basheera Khan - Thursday, 07 October 2004 http://www.pingwales.co.uk/software/cox-on-better-software.html Dire Straits The evolution of software opens new vistas for business... and the bad guys. April 2004, By GARY MCGRAW & GREG HOGLUND http://infosecuritymag.techtarget.com/ss/0,295796,sid6_iss366_art684,00.html Introduction to Software Security Date: Nov 2, 2001 By Gary McGraw, John Viega. http://www.awprofessional.com/articles/printerfriendly.asp?p=23950 Centro de Desarrollo Microsoft Seguridad http://www.microsoft.com/spanish/msdn/centro_recursos/security/default.asp [13] GOS4i / IN2,Ingeniería de la Información – 2005 Calidad y Seguridad en Procesos de Desarrollo de Software