Desarrollo seguro DIPLOMATURA EN SEGURIDAD INFORMÁTICA DIPLOMATURA EN SEGURIDAD INFORMÁTICA Desarrollo seguro de aplicaciones Lic. Cristian Borghello CISSP – CCSK – MVP www.segu-info.com.ar [email protected] @seguinfo Licenciado en Sistemas UTN y Certificado en Seguridad Director de Segu-Info - Segu-Kids - ODILA Miembro de Asociaciones de Seguridad Nacionales e Internacionales DIPLOMATURA EN SEGURIDAD INFORMÁTICA Si los automóviles se fabricaran como el software • 70% de los autos se fabricarían sin seguir los diseños previstos • El otro 30% ni siquiera tendría diseño • El diseñador asumiría que la seguridad es una función del diseño de la carretera y que todos los conductores son expertos • Los autos no tendrían airbags, espejos, cinturones de seguridad, barras de impacto, cerraduras, porque nadie las solicitó expresa y formalmente www.segu-info.com.ar 1 Desarrollo seguro DIPLOMATURA EN SEGURIDAD INFORMÁTICA Si los automóviles se fabricaran como el software • Todos los automóviles tendrían al menos seis posa vasos • Las pruebas de accidentes, sólo tendrían en cuenta el impacto frontal del vehículo • Algunas medidas de seguridad, que se habían incluido, se sacarán debido a que impactan en la performance del vehículo Denis Verdon, Fidelity National Financial ”Integration into the SDLC” DIPLOMATURA EN SEGURIDAD INFORMÁTICA Estado de la seguridad • “92% de las vulnerabilidades están las aplicaciones, no en las redes” - NIST • “87% de las aplicaciones web tienen al menos una vulnerabilidad crítica” - WASC • “El costo de solucionar un bug luego de implementado es de $30000 vs $5000 durante el diseño (6 veces)” - NIST • “Si el 50% de las vulnerabilidades de software fueran solucionadas antes de ir a producción, su costo se reduciría el 75%” - Gartner www.segu-info.com.ar 2 Desarrollo seguro DIPLOMATURA EN SEGURIDAD INFORMÁTICA Ciclo de Vida del Software • SDLC (System Life Cycle and Systems Development): el software debe ser planeado, diseñado, construido e implementado de acuerdo a principios de ingeniería que deben ser respetados durante todo el proceso • Se debe incluir: Métricas Modelado Métodos y técnicas de desarrollo Seguimiento de progresos DIPLOMATURA EN SEGURIDAD INFORMÁTICA Fases del SDLC Análisis de requisitos Diseño del sistema Diseño del software Codificación Pruebas Implementación Mantenimiento www.segu-info.com.ar 3 Desarrollo seguro DIPLOMATURA EN SEGURIDAD INFORMÁTICA Buenas Prácticas • ISO 12207:2008 - Software Life Cycle Processes • ISO 15504 - SPICE (Software Process Improvement and Capability Determination) • ISO 29110 - Estándar para la mejora de procesos y calidad de software para PyMEs • NIST 800-64 - Security Considerations in the SDLC • NIST 800-27 - Engineering Principles for Information Technology Security DIPLOMATURA EN SEGURIDAD INFORMÁTICA Testing White Box (I) • Requieren acceso al código fuente y comprender los objetivos del software y del negocio, pero se pueden realizar en cualquier momento del SDLC • Se realiza con base en el conocimiento de cómo se implementa el sistema • Incluyen el análisis de flujo de datos, prácticas de codificación, el control de errores y excepciones • El primer paso es comprender y analizar la documentación de diseño disponibles, casos de usos, DFD, el flujo de datos y el código fuente www.segu-info.com.ar 4 Desarrollo seguro DIPLOMATURA EN SEGURIDAD INFORMÁTICA Testing Black Box • Se basa en obtener las especificaciones del software y comprender su funcionamiento, sin referencia ni conocimiento interno • Se debe intentar realizar plus al White-Box • Además de para encontrar vulnerabilidades, puede ser útil para detectar errores en run-time y en el código compilado www.segu-info.com.ar 5