enseñando seguridad en aplicaciones: ¿qué hemos aprendido?¿qué hemos aprendido? es un proceso:...

Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido? Felipe Zipitría Grupo de Seguridad Informática FING

Upload: others

Post on 05-Sep-2020

9 views

Category:

Documents

0 download

Report

Download

Embed Size (px):

TRANSCRIPT

Enseñando Seguridad en Aplicaciones:

¿Qué hemos aprendido?

Felipe ZipitríaGrupo de Seguridad Informática

FING

Page 2: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El

¿Desde cuándo?

● Desde el año 2006 parte de curso de posgrado profesional

● Desde 2007 para estudiantes de grado como opcional en la carrera de Ingeniería en Computación

● Desde el 2011, como curso de posgrado profesional y Diploma en Seguridad – Seguridad en Aplicaciones

Page 3: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El

Diferencias

● ... los perfiles– Grado: + académico

– Profesional: + gerencial/profesional

Grado

● No necesariamente conocen– Ingeniería de Software

● El modelo de trabajo que vienen usando es “anti-seguridad”– Los tiempos y entregas

Page 5: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El

Posgrado

● Más bien enfocado a– desarrollo

– gerencial

Page 6: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El

Laboratorio

● Se usan las herramientas de OWASP– WebGoat

– WebScarab

● Otra simples para explicar, p.e. BO

Page 7: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El

¿Un laboratorio?

● Pero... ¡estudiantes que puedan romper!?– Los estudiantes rompen igual

– Es la forma que utilizan para aprender de forma directa

– El laboratorio monta● Una infraestructura real

– Sobre una red/máquina virtual

Page 8: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El

¿Qué diferencias de nivel hay?● Grado: cuesta profundizar en ciertas

problemáticas:– CSRF

– Programación!

● Posgrado: mucho óxido en las bases

Page 9: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El

Incorporar

● Exceptuando gerentes de proyectos/área– No hay noción de riesgo

– Cuesta priorizar

● Ejercicios de modelos de amenazas

Page 10: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El

El enfoque

● El enfoque debe ser el que se aplica:– Con énfasis en el proceso de desarrollo

– Con las actividades para cada etapa

● No se debe aplicar el de Web Pen Testing clásico: test & parche

¿Qué hemos aprendido?● Es un proceso:

– Debería estar más integrado con p.ej. Las programaciones en la carrera

● El modelo actual de enseñanza de grado– No contempla seguridad en aplicaciones en forma

horizontal a las programaciones

● Pueder ser difícil evaluar un laboratorio– Banderas/etc.

Page 12: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El

¿Qué le cuesta más a un alumno?

● Normalmente lo más difícil (lo que más les cuesta) es pensar como un atacante

● El modelo/modelado de amenazas● Las bases

– Confidencialidad/Integridad/No Repudio, etc.

● El riesgo!

Page 13: Enseñando Seguridad en Aplicaciones: ¿Qué hemos aprendido?¿Qué hemos aprendido? Es un proceso: – Debería estar más integrado con p.ej. Las programaciones en la carrera El

Preguntas/Comentarios/Sugerencias

MESA I: ¿Qué hemos aprendido?

¡Bienvenidos! ¿Quién recuerda qué temas hemos hablado y aprendido hasta ahora?

Recordemos lo que hemos aprendido

VAMOS A VER CUANTO HEMOS APRENDIDO…. ELIGE LA RESPUESTA CORRECTA

Gestión privada de servicios sanitarios públicos ¿qué hemos aprendido en las dos últimas décadas?

¿Qué hemos aprendido de las evaluaciones en 2019?

RESUMEN EJECUTIVO QUÉ HEMOS APRENDIDO?tcg.uis.unesco.org/wp-content/uploads/sites/4/2020/10/...4 RESUMEN EJECUTIVO - QUÉ HEMOS APRENDIDO? 8. Planes de reapertura de las escuelas:

ALUMNO/A:. ACTIVIDAD 1 DIARIO REFLEXIVO ACTIVIDAD 1 ¿Qué hemos hecho?¿Cómo lo hemos hecho? ¿Qué hemos aprendido?¿Qué es lo que más me ha costado?

Estrategias de continuidad Tecnológica. ¿Qué hemos aprendido

¿Qué he aprendido?

I ¿Qué hemos aprendido? - aleph.academica.mxaleph.academica.mx/jspui/bitstream/56789/8478/1/DOCT2065551_ARTICULO_2.… · los problemas del desarrollo del mundo actualmente pobre

TRANSFORMACIÓN ¿Qué hemos aprendido de todo esto? · ¿Qué hemos aprendido de todo esto? Juan Luis Ramírez Montaño Colegiado nº 31-2019-1213 Trabajador Social y Auxiliar de

¿Qué hemos aprendido de las redes sociales?

Aflibercept, ¿qué hemos aprendido y qué es lo nuevo que viene? · 2017-12-01 · Aflibercept, ¿qué hemos aprendido y qué es lo nuevo que viene? New insights in Angiogenesis

Visión integral del campo de la ALFIN. ¿qué hemos aprendido al respecto?

Qué hemos aprendido carolina carneiro

Qué hemos aprendido vinculando grupos de ahorro y crédito a … · 2017-11-21 · Qué hemos aprendido vinculando grupos de ahorro y crédito a entidades financieras formales3 Acerca

¿Qué hemos aprendido de la cultura árabe?

¡Bienvenido! ¿Quién recuerda qué temas hemos hablado y aprendido hasta ahora?

¿Qué hemos aprendido trabajando hombro a hombro con emprendedores en LATAM?

¿Qué hemos aprendido en el AHA? - Sociedad …secardiologia.es/images/e-learning/presentaciones/04122013-Dra... · ¿Qué hemos aprendido en el AHA? Carmen Suárez Medicina Interna

¡Bienvenido! Ahora, veamos qué resultados tenemos gracias a lo que hemos aprendido y a cambiar nuestros hábitos nutricinales. Entonces, ¿Qué resultados

“En la guerra entre los hombres, hemos aprendido a

¿Qué hemos aprendido de la fiebre hemorrágica de Crimea-Congo? · Qué hemos aprendido de la fiebre hemorrágica de Crimea-Congo 18 Source:Estrada-Peña A et al. Emerging Infect

67. los niños que compartimos lo que hemos aprendido

Terapia biológica y cáncer ¿qué hemos aprendido?

HEMOS APRENDIDO

Lecciones que hemos aprendido de la crisis, por Jordi Galí

¿QUÉ HEMOS APRENDIDO DE LA CRISIS? 22 AMENAZAS Y OPORTUNIDADES

Multimedia - Prezi - Qué hemos aprendido con Ñú (GD)

Cáncer de vejiga ¿Qué hemos aprendido estos últimos años?±a-Mellado.pdf · ¿Qué hemos aprendido estos últimos años de cáncer de vejiga? • Tratamiento adyuvante/neoadyuvante

¿Qué hemos aprendido para dar un futuro mejor a nuestra …...¿Qué hemos aprendido para dar un futuro mejor a nuestra región? La lección que se ha repetido con cada entrevista

¿Qué hemos aprendido? 3. ¿Cómo votamos? · ¿Qué hemos aprendido? ... ¿Cómo sabe el Censo que a una persona ... se le conoce como proceso de incapacitación. En muchas ocasiones,

¿Qué hemos aprendido hasta el momento? 1. Intereses económicos diferentes entre criollos limeños y provincianos

Qué hemos aprendido mariet