asegurando el ciclo de desarrollo con genexus

ASEGURANDO EL CICLO DE DESARROLLO CON GENEXUS

Gerardo Canedo – GeneXus ConsultingAlberto Wilson - Deloitte

Aplicación de servicios de salud

• Ver resultados de mis exámenes a través de Internet

• Ver mis datos personales

SITUACIÓN

Análisis de Riesgo / Modelo de Amenazas

Requerimientos de Seguridad

Test de Penetración

Revisión de Código

Plan de Seguridad

Esquema de Ambientes

Permisos y Ambientes Monitoreo de procesos y controles

Pruebas de Seguridad según riesgo

Capacitación

Plan de Seguridad

Esquema de Ambientes

Permisos y Ambientes Monitoreo de procesos y controles

Capacitación

CAPACITACIÓN

OWASP TOP 10

Programación defensiva

Consideraciones en Genexus

Capacitación

Riesgos y amenazas

Riesgo es la probabilidad de que ocurra “algo” que nos afecte de forma negativa

“algo” son las amenazas

Riesgo de comprometer confidencialidad, integridad y disponibilidad

En nuestra aplicación …

Algunos posibles riesgos que existen según los RF definidos

Ver la información (historial clínico) de otra persona

Acceso a credenciales en texto plano

Obtener la base de datos de los usuarios

Capacitación

Se consideran requerimientos no funcionales

Definen los controles de seguridad a implementar

Cómo manejar la información sensible

Particularidades de la lógica de negocio

Vulnerabilidades más conocidas (OWASP Top Ten)

Al igual que con otros tipos de requerimientos, tienen que ser claros y específicos

En nuestra aplicación …Solo usuarios autenticados pueden utilizar la aplicación (excepto Login

y pagina de error de autorizacion)

Un usuario solamente puede ver sus propios datos, no los de otro

usuario

El acceso a resultados de exámenes clínicos

requiere de dos factores de autenticación: usuario

y contraseña + OTP por fuera de banda

Los resultados de exámenes que tengan archivos de imagen asociados,

deben almacenarse en una base de datos cifrada. El acceso del usuario

a esos archivos debe ser a través de un directorio temporal (protegido)

y la referencia a la URL de los archivos debe generarse de forma

aleatoria e indirecta.

Capacitación

Revisión de código

Análisis estático

Caja blanca GeneXus

Semi–Automático

OWASP Top Ten Oriented

Capacitación

Pruebas de Seguridad

Basadas en Riesgos

Automáticas / Semi-Automáticas

Parte del Testing de la aplicación

Autenticación (Automática)

Autorización (Semi-Automática)

One Time Password

Intento de Visualizar Resultados de otro

usuario

Intento de Visualizar Datos de otro

usuario

Capacitación

Antes de salir a producción

En un ambiente de “pre-producción”

Consiste en ponerse el “black hat” y simular un ataque real

Conviene que sea un tercero independiente al proyecto, para tener la visión “fresca”

OTP Bypass

Conclusiones

¡Práctica Sistemática y Planificable!

Material

Evita Retrabajo

Evita problemas legales y/o normativos

Ahorro en Lucro cesante

Intangible

Stress

Problemas de imagen

¡Muchas Gracias!Alberto Wilson

alwilson@deloitte.com

Gerardo Canedo

gcanedo@genexusconsulting.com

asegurando el ciclo de desarrollo con genexus

Documents

gxunit - genexus unit testing

genexus x quick start es

web services genexus tilo

ppts_curso básico genexus

asegurando 20

genexus, business process management

presentación genexus

practico curso genexus

primeros pasos con genexus 90

evolución del lenguaje genexus

asegurando elastix.pdf

genexus trial tutorial es

tutorial genexus

genexus base instalada

reporting+(objeto+query) genexus

1.genexus que_es

genexus grupo salinas

genexus exposición

guia examen analista junior genexus

comunidad genexus