![Page 1: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/1.jpg)
Tendencias en Seguridad y Control en Aplicaciones
Lucio Augusto Molina FocazzioLucio Augusto Molina FocazzioCertified information Systems Auditor - CISACertified Information Security Manager – CISMCobiT Accredited TrainerCobiT Accredited TrainerConsultor en Auditoría de Sistemas y Seguridad de la Información
![Page 2: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/2.jpg)
Agenda
Introd cción
ge da
Introducción
Riesgos en las Aplicaciones
El SDLC y los beneficios de Integrar la Seguridad en el Ciclo
Fases de la seguridad en el Ciclo de Desarrollo de Software
ConclusionesConclusiones
![Page 3: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/3.jpg)
Agendage da
Riesgos en lasRiesgos en lasAplicacionesp
![Page 4: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/4.jpg)
Vulnerabilidades relacionadas con lasVulnerabilidades relacionadas con las aplicaciones
![Page 5: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/5.jpg)
10 Mayores Riesngos para la Seguridad en las Aplicaciones
Injection Cross‐Site Scripting (XSS)
Broken Authentication and SessionManagement
Insecure Direct Object References
Cross‐ Suite Request Forgery (CSRF) Security Misconfiguration
Insecure Cryptographic Stoprage Failure to Restrict URL Access
Insufficient Transportt Layer Protection Unvalidated Redirects and Forwards
![Page 6: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/6.jpg)
Revisión del
RequerimientosDe seguridad
Revisión delDiseño
Revisión delCódigo
Pruebas de Penetración
g
Requerimientos y casos de uso Diseño Plan de Pruebas Códificación Pruebas Retroalimentación
Análisis de Pruebas a laAnálisis de Riesgos
Pruebas a laSeguridad
![Page 7: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/7.jpg)
Agendage da
El SDLC l b fi i dEl SDLC y los beneficios de Integrar la Seguridad en el Ciclog g
![Page 8: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/8.jpg)
Beneficios de Integrar la SeguridadBeneficios de Integrar la Seguridaden el SDLC
• Identificacion y mitigación oportuna de• Identificacion y mitigación oportuna de vulnerabilidades y malas configuraciones
• Bajo costo en la implementacion de controles y mitigacion de vulnerabilidades
• Identificacion de servicios de seguridad compartidos• Estrategias de reuso de herramientas para reducir• Estrategias de reuso de herramientas para reducircostos y programaciones
• Mejoramiento de la seguridad mediante el uso de
8 Confidential
j gtecnicas y métodos probados
![Page 9: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/9.jpg)
Beneficios de Integrar la SeguridadBeneficios de Integrar la Seguridaden el SDLC
• Decisiones informadas a traves de una adecuada• Decisiones informadas a traves de una adecuadagestion de riesgos
• Documentacion de la seguridad durante el desarrollo• Mejoramiento de la confianza de las organizacion y los usuarios para facilitar la adopcion y uso
• Mejoramiento en la interoperabilidad e integracion• Mejoramiento en la interoperabilidad e integracionque de otra manera podría generar obstáculosmediante el aseguramiento de los sistemas a variosi l
9 Confidential
niveles
![Page 10: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/10.jpg)
Agendage da
F d l id d l Ci lFases de la seguridad en el Ciclode Desarrollo de Software
![Page 11: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/11.jpg)
Fases del SDLCFases del SDLC• Inicio y estudio de Factibilidad
• Definicion de requerimientos
• Diseño Funcional• Diseño Funcional
• Diseño técnico y construcción de la solución
• Verificación
• Implementación
• Mantenimiento y Seguimiento
![Page 12: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/12.jpg)
Fases del SDLC “con Seguridad”F 1 I i i• Fase 1. Inicio
• Fase 2: Desarrollo / Adquisición
• Fase 3: Implementacion / Valoración
• Fase 4: Operación / MantenimientoFase 4: Operación / Mantenimiento
• Fase 5: Disposición
12 Confidential
NIST SP 800-64
![Page 13: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/13.jpg)
Integración de Controles dentro del gSoftware (CoBiT)
Adquirir e Implementar Soluciones
Identificar Soluciones
Adquirir y mantener el Swde Aplicación
Adquirir y Mantener la
Infraestructura tecnológica
Establecer la Operación y el
Uso
Procurar Recursos de TI
Gestionar cambios
Instalar y Acreditar
Soluciones y cambios
Identificar Obj, de control
Diseñar controles de
Construir y configurar
Documentar controles y entrenar a
Probar y Aprobar los controlescontrol
relevantes Aplicacion controlesy entrenar a los usuarios
![Page 14: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/14.jpg)
Fase 1. Inicio1. Involucramiento de los dueños del negocio
2. Documentar la Arquitectura Empresarial
3. Indentificar y especificar las politicas y leyes aplicables
4. Desarrollar los Objetivos de Confidencialidad, Integridad y Disponibilidad
5. Categorizacion de la Seguridad en los Sistemas de Información y en la InformacionInformación y en la Informacion
6. Desarrollar especificaciones de Procurement
7 Análisis Preliminar de Riesgos
14 Confidential
7. Análisis Preliminar de Riesgos
![Page 15: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/15.jpg)
Phase 1: InitiationPhase 1: Initiation
Relating security considerations
15 Confidential
![Page 16: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/16.jpg)
Fase 2 Adquisición / DesarrolloFase 2. Adquisición / Desarrollo1. Análisis de Riesgos
2 Seleccion de linea base de controles de seguridad2. Seleccion de linea base de controles de seguridad
3. Refinamiento de las linea base de los controles de seguridadseguridad
4. Diseño de los Controles de Seguridad
5 Análisis de Costos y reporte5. Análisis de Costos y reporte
6. Planeación de la seguridad
7 P b i i l i d l i ió d16 Confidential
7. Pruebas unitarias y evaluacion de la integración de la seguridad
![Page 17: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/17.jpg)
Phase 2: Acquisition / Developmentq / p
Relating security considerations
17 Confidential
![Page 18: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/18.jpg)
Fase 3 Implementación / ValoraciónFase 3. Implementación / Valoración1. Inspección y aceptacion del Producto /componentes
2 Ontegracion de los controles de seguridad2. Ontegracion de los controles de seguridad
3. Guia Administrativa / Usuario
4 P b l id d d l Si t l d4. Prureba a la seguridad del Sistema y plan de evaluacion
5 Certificación del Sistema5. Certificación del Sistema
6. Determinación del Riesgo residual
7 A di ió d l S id d18 Confidential
7. Acreditación de la Seguridad
![Page 19: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/19.jpg)
Phase 3: Implementation / Acquisitionp / q
Relating security considerations
19 Confidential
![Page 20: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/20.jpg)
Fase 4: Operación / MantenimientoFase 4: Operación / Mantenimiento1. Gestión de la Configuración, control de cambios y
auditoríaauditoría
2. Monitoreo Continuo
3. Recertificación
4. Reacreditación
5. Gestión de Incidentes
6. Auditoría
7. Detección y Monitoreo de Intrusos
20 Confidential
8. Prueba del Plan de Contingencias (incluyendo plan de operacion y continuidad)
![Page 21: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/21.jpg)
Phase 4: Operations / Maintenancep /
Relating security considerations
21 Confidential
![Page 22: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/22.jpg)
Fase 5: DisposiciónFase 5: Disposición
l ó d l ( d l1. Planeación de la Transicion (migracion del nuevo sistema)
2. Disposición de Componentes
3. Saneamiento de medios
4. Archivo de Informacion asegurando la preservacion de la informacion
22 Confidential
preservacion de la informacion
![Page 23: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/23.jpg)
Phase 5: Sunset (Disposition)( p )
Relating security considerations
23 Confidential
![Page 24: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/24.jpg)
Agendage da
Conclusiones
![Page 25: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/25.jpg)
C l iConclusiones• El seguimiento al Ciclo de Vida del desarrollo gde Sistemas incrementa la probabilidad de éxito del proyectop y
• Incluir la seguridad durante el SDLC trae economías importanteseconomías importantes
• Para incluir la seguridad en la aplicación se combinan estándares y mejores prácticascombinan estándares y mejores prácticas como ISO 27001, CoBiT, ITIL, NIST y BS25999
![Page 26: Tendencias en Seguridad y Control en Aplicaciones](https://reader037.vdocuments.co/reader037/viewer/2022102803/58a2f3e21a28abac368ba246/html5/thumbnails/26.jpg)
Preguntas????egu tas????