+54 911 66509220

Blog

Blog
20 May 2015

Webinar sobre Pruebas de Seguridad – Síntesis

/
Creado por
/
Comentarios0

Pruebas de Seguridad Webinar expQA 15

Ayer participé del webinar gratuito que organizó expo:QA’15 con motivo a los próximos encuentros, en el cual se trató el tema: Integrar la seguridad dentro de la calidad en el desarrollo, de la mano de Juan Carlos Pascual de Sogeti.

Partió de la base de mostrar nuestro escenario actual, donde:

  • el negocio es digital
  • cada vez hay más aplicaciones que mantener
  • cada vez hay más riesgos
    • exposición a ataques
    • exposición a fallos
  • es necesario alinear el portfolio creciente de aplicaciones con metas de calidad y seguridad

Enumeró una serie de aspectos respecto a la industria (data de RSA Conference. Abril 2015)

  • la industria de la seguridad de la información está perdiendo la ciberguerra
  • el problema es que demasiadas organizaciones no analizan su situación y no toman medidas adecuadas
  • el número de ataques reportados aumentó hasta una media de 117.339 cada día
  • las pruebas de seguridad de aplicaciones deben habilitarse y convertirse en parte de la operación
  • la calidad del software es un factor de riesgo que precisa atención inmediata
  • los ciberataques ocurrirán. Hay que estar preparados
  • la mayoría de los ataques en Q4-2014 se focalizaron en explotar vulnerabilidades

Se reflexionó sobre los defectos en el software de negocio que ocasionan pérdidas, razón por lo cual hay que cuidad no solo de la calidad sino de la seguridad.

Recordó el concepto de vulnerabilidad como el fallo de diseño, problema que surge de un error fundamental o descuido en el diseño del software (falta de previsión, intrínseca a la arquitectura de la aplicación, puede ser útil, son a menudo desvastadoras).

Después mostró algunas Amenazas reales y ataques a las aplicaciones, mostrando para este último caso un ejemplo de SQL injection.

A medida que transcurría el webinar, desde el administrador de la sesión de Gotoweninar nos iban haciendo consultas como cuando nos preguntaron ¿Ha realizado alguna auditoría para evaluar la seguridad de sus aplicaciones?, el resultado (por lo menos de los que estábamos presentes) fue: 61% que NO y el resto Sí.

Luego de eso, explicó el Enfoque a seguir en cuanto a las mejores prácticas de seguridad
1. Descubrir
2. Corregir
3. Umbrales
4. Control temprano
5. Madurar

Más tarde comenzó a lanzar algunos conceptos en cuanto al objetivo de calidad,
1. Mantenibilidad
2. Eficiencia
3. Seguridad
4. Portabilidad
5. Fiabilidad

Sobre esta base, comentó algunos aspectos vinculados con los Beneficios: Reducción de los costos por mantenimiento, y cómo medirlo, partiendo de un módelo básico en donde se tienen en cuenta ciertas prácticas para cada una de las instancias del ciclo de vida en el desarrollo del software:

  • Casos de abuso
  • Requisitos de seguridad
  • Análisis de riesgos
  • Revisión externa
  • Pruebas de seguridad basadas en riesgos
  • Análisis estático

Complementó este enfoque con la Mejora Continua en seguridad, la cual aporta madurez y capacidad.

Enumeró luego, una serie de retos que tenemos por delante:
1.Implicar a la dirección
2.Implicar al personal
3.Analizar riesgos
4.Definir requisitos de seguridad
5.Modelar amenazas
6.Implantar buenas prácticas de codificación
7.Implementar herramientas de desarrollo seguro
8.Mantener una base de datos de vulnerabilidades
9.Hacer análisis estático de código
10.Hacer análisis dinámico de la aplicación
11.Efectuar pruebas de penetración periódicas
12.Definir objetivos de madurez en seguridad

Finalizó con una propuesta, resultados de auditorías y experiencia de la industria.

Aquí puede ver la grabación del webinar:
Pruebas de Seguridad – Youtube

exposición a cargo de:
Juan Carlos Pascual
jc.pascual@sogeti.com

Leave a Reply

Your email address will not be published.

* Copy This Password *

* Type Or Paste Password Here *

23,760 Spam Comments Blocked so far by Spam Free Wordpress

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This site uses Akismet to reduce spam. Learn how your comment data is processed.