Seguridad en Desarrollo… - owasp appsec :: rio de la plata 2016
Transcripción
Seguridad en Desarrollo… - owasp appsec :: rio de la plata 2016
Seguridad en Desarrollo… Desde la teoría a la práctica (NO seas el próximo Ashley Madison) Lic. Cristian Borghello, CISSP – CCSK – MVP www.segu-info.com.ar [email protected] @seguinfo @CursosSeguInfo Sobre Cristian Borghello • Licenciado en Sistemas UTN desde 2000 • Desarrollador desde los 8 años • CISSP (Certified Information Systems Security Professional) • Microsoft MVP Security (Most Valuable Professional) • CCSK (Certificate Cloud Security Knowledge) • Creador y Director de Segu-Info y Segu-Kids • Instructor y Orador con experiencia internacional en Seguridad • Miembro de organizaciones internacionales La Teoría Cliente Desarrolladores Consultor La Práctica 5 casos reales donde la práctica no es como la teoría Los hechos y personajes de estas historias son ficticios y cualquier semejanza con la realidad es pura coincidencia Caso 1 - Energía Cliente Dev. Propios C o n su l to r Caso 1 - Energía Cliente Dev. Propios C o n su l to r Caso 1 - Energía Antes Después • Se llama al consultor de forma “obligada” • No se contaba con área de seguridad propio • No se aceptaban las recomendaciones de terceros • No se seguían buenas prácticas ni lineamientos de seguridad • Se terminó solicitando la opinión de terceros imparciales • Se comenzó a pensar en la madurez del software y en la seguridad del mismo • Se capacitó a los desarrolladores Caso 2 – Alimentos Cliente Consultor Marketing Dev. Ext. Caso 2 – Tiempos Después de 8 meses el proyecto se dio por terminado... pero la mitad de las vulnerabilidad no fueron corregidas Caso 2 – Alimentos Cliente Consultor Marketing Dev. Ext. Caso 2 – Alimentos Antes Después • Toma de decisiones desde áreas inadecuadas • Acceso a la información por parte de terceros • Falta de buenas prácticas • Falta de testing • Se escuchó la opinión del externo autorizado • Se comprendió que la información es lo más importante • Se comenzó a invertir en desarrollo seguro Caso 3 – Financiera C o n su l t o r Cliente S e g u r id a d M a r k e t i n g D e v e l o p e rs Caso 3 – Financiera Antes Después • Comunicación interna deficiente • Toma de decisiones desde áreas inadecuadas • Salida a producción sin testing apropiado • Se rediseño el workflow de trabajo • Se comenzaron a seguir buenas prácticas de desarrollo • Cada aplicación se testea interna y externamente antes de salir a producción Caso 4 – Bancaria C o n s u l to r Cliente S e g u r id a d Developers Caso 4 – Bancaria C o n s u l to r Cliente S e g u r id a d D eIvnesli od pe er r s ¡Booooom! Caso 4 – Bancaria Antes Después • “Lo que funciona no se • La investigación interna facilitó la detección de errores de gestión y técnicos • Se optó por realizar modelado de amenazas a las App • Se decidió seguir buenas prácticas de desarrollo seguro • Se agregaron más y mejores registros de incidentes toca” • Falta de pericia en la causa del incidente • Se asumió que el error era de la App • Desarrolladores “con poder” dentro de la organización • Existencia de Insiders Caso 5 – Salud y PyME C o n su l t o r C l i e n te Soft Factory Caso 5 – Salud y PyME C o n su l t o r C l i e n te Soft Factory Caso 5 – Salud y PyME Antes Después • Software Factory sin conocimiento pero con ganas de crecer • Modelo de desarrollo complejo con demasiados actores y con acceso a la información • ¿Quién almacena y accede a la información? • ¿Quién prueba? ¿Quién implementa? • Reconocimiento de debilidades en seguridad • Visión y reconocimiento de la seguridad de la información • División de responsabilidad de acuerdo al proyecto Conclusiones • La práctica nunca es igual a la teoría • Todos los negocios son distintos • Las normas y buenas prácticas son muy buenas, pero deben adecuarse a cada negocio • Nuestras recomendaciones pueden no ser tomadas a bien (paciencia!) • La seguridad es imprescindible en cualquier proyecto de desarrollo actual Conclusiones • Los de seguridad somos bichos raros, hay que convivir con eso y aportar lo mejor • Los proyectos no giran alrededor nuestro, nosotros giramos alrededor del negocio Ashley Madison tiene juicios millonarios que amenaza su negocio… Y todo por una App mal asegurada Gracias! Lic. Cristian Borghello, CISSP – CCSK – MVP www.segu-info.com.ar [email protected] @seguinfo @CursosSeguInfo
Documentos relacionados
pdf borghello
Ciberseguridad Nacional Lic. Cristian Borghello, CISSP – CCSK – MVP www.segu-info.com.ar [email protected] @seguinfo @CursosSeguInfo
Más detalles