lecciones aprendidas: llevando la seguridad al siguiente nivel en una software house owasp latam...
TRANSCRIPT
LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE
OWASP LATAM TOUR 2013, MONTEVIDEO
Gerardo Canedo@GerardoMCanedo
Sobre mi …
o 10+ años Desarrollo
o 5 años Arquitecto
o 3 años vinculado a Seguridad
o Soluciones de Software a Clienteso Desarrollo con GeneXus
Aquellos viejos tiempos …
o Usuarios
o Roles
o Filtro datos
o Botones habilitados por Rol
Aquellos viejos tiempos …
1. El cliente tiene un Firewall
2. La aplicación se publicaba en SSL (Internet)
3. La aplicación no es accesible desde Internet
4. La seguridad es un trabajo de Infraestructura
5. Seguidad es un Gasto
6. Nunca tuvimos problemas
Hasta que …
¿Cómo seguimos?
Siguiente Nivel
Aseguramiento de la Seguridad
Equipo de Seguridad
Capacitación
Concientizar
Buenas Prácticas
Equipo de Seguridad
o Profesionales en Seguridad
o Multidisciplinarioo Gestión
o Desarrollo
o Test
Capacitación
o Cursos y Posgrados
Concientizar
Buenas prácticas
Análisis de
Riesgos
Revisión de Código
Test de Seguridad
Buenas prácticas
Análisis de
Riesgos
Revisión de Código
Test de Seguridad
Análisis de Riesgos del Negocio
o Determinar las amenazas para el negocio
o Ayuda a determinar los controles a incorporar con el presupuesto destinado
Análisis de Riesgos de la Arquitectura
Buenas prácticas
Análisis de
Riesgos
Revisión de Código
Test de Seguridad
¿Qué es GeneXus?
Modelo GeneXus
Especificador
Código Intermedio
Ruby
Ejecución
Desarrollo
Revisión de Código
Modelo GeneXus
Especificador
Código Intermedio
Ruby
Revisión
GeneXus Security Scanner
o http://
wiki.gxtechnical.com/commwiki/servlet/hwiki?Security+Sca
nner+extension+user+manual
GeneXus Security Scanner
Buenas prácticas
Análisis de
Riesgos
Revisión de Código
Test de Seguridad
Test de Seguridad
Código Intermedio
Modelo GeneXus
Especificador
Código Intermedio
Ruby
Pruebas
Autenticación y Autorización
Autenticación y Autorización
Mínima superficie de exposición
• Aplicación• Pruebas• Objetos Viejos• Artefactos Test• Inicializaciones
Aplicación
Test de Seguridad
Test de Pentración
o Aplicación Segura en ambiente de ejecución Seguro.
o Realizado por equipo independiente a la construcción.
Lecciones aprendidas
o La seguridad no se eligeo Trasciende lo técnicoo Equipo de Seguridado Responsabilidad de todoso Capacitación continuao Se construye por medio de
actividades en el desarrollo