Ayer participé del webinar gratuito que organizó expo:QA’15 con motivo a los próximos encuentros, en el cual se trató el tema: Integrar la seguridad dentro de la calidad en el desarrollo, de la mano de Juan Carlos Pascual de Sogeti.
Partió de la base de mostrar nuestro escenario actual, donde:
- el negocio es digital
- cada vez hay más aplicaciones que mantener
- cada vez hay más riesgos
- exposición a ataques
- exposición a fallos
- es necesario alinear el portfolio creciente de aplicaciones con metas de calidad y seguridad
Enumeró una serie de aspectos respecto a la industria (data de RSA Conference. Abril 2015)
- la industria de la seguridad de la información está perdiendo la ciberguerra
- el problema es que demasiadas organizaciones no analizan su situación y no toman medidas adecuadas
- el número de ataques reportados aumentó hasta una media de 117.339 cada día
- las pruebas de seguridad de aplicaciones deben habilitarse y convertirse en parte de la operación
- la calidad del software es un factor de riesgo que precisa atención inmediata
- los ciberataques ocurrirán. Hay que estar preparados
- la mayoría de los ataques en Q4-2014 se focalizaron en explotar vulnerabilidades
Se reflexionó sobre los defectos en el software de negocio que ocasionan pérdidas, razón por lo cual hay que cuidad no solo de la calidad sino de la seguridad.
Recordó el concepto de vulnerabilidad como el fallo de diseño, problema que surge de un error fundamental o descuido en el diseño del software (falta de previsión, intrínseca a la arquitectura de la aplicación, puede ser útil, son a menudo desvastadoras).
Después mostró algunas Amenazas reales y ataques a las aplicaciones, mostrando para este último caso un ejemplo de SQL injection.
A medida que transcurría el webinar, desde el administrador de la sesión de Gotoweninar nos iban haciendo consultas como cuando nos preguntaron ¿Ha realizado alguna auditoría para evaluar la seguridad de sus aplicaciones?, el resultado (por lo menos de los que estábamos presentes) fue: 61% que NO y el resto Sí.
Luego de eso, explicó el Enfoque a seguir en cuanto a las mejores prácticas de seguridad
1. Descubrir
2. Corregir
3. Umbrales
4. Control temprano
5. Madurar
Más tarde comenzó a lanzar algunos conceptos en cuanto al objetivo de calidad,
1. Mantenibilidad
2. Eficiencia
3. Seguridad
4. Portabilidad
5. Fiabilidad
Sobre esta base, comentó algunos aspectos vinculados con los Beneficios: Reducción de los costos por mantenimiento, y cómo medirlo, partiendo de un módelo básico en donde se tienen en cuenta ciertas prácticas para cada una de las instancias del ciclo de vida en el desarrollo del software:
- Casos de abuso
- Requisitos de seguridad
- Análisis de riesgos
- Revisión externa
- Pruebas de seguridad basadas en riesgos
- Análisis estático
Complementó este enfoque con la Mejora Continua en seguridad, la cual aporta madurez y capacidad.
Enumeró luego, una serie de retos que tenemos por delante:
1.Implicar a la dirección
2.Implicar al personal
3.Analizar riesgos
4.Definir requisitos de seguridad
5.Modelar amenazas
6.Implantar buenas prácticas de codificación
7.Implementar herramientas de desarrollo seguro
8.Mantener una base de datos de vulnerabilidades
9.Hacer análisis estático de código
10.Hacer análisis dinámico de la aplicación
11.Efectuar pruebas de penetración periódicas
12.Definir objetivos de madurez en seguridad
Finalizó con una propuesta, resultados de auditorías y experiencia de la industria.
Aquí puede ver la grabación del webinar:
Pruebas de Seguridad – Youtube
exposición a cargo de:
Juan Carlos Pascual
jc.pascual@sogeti.com