Seguridad en Desarrollo… - owasp appsec :: rio de la plata 2016

Seguridad en Desarrollo… - owasp appsec :: rio de la plata 2016

Seguridad en Desarrollo…
Desde la teoría a la práctica
(NO seas el próximo Ashley Madison)
Lic. Cristian Borghello, CISSP – CCSK – MVP
www.segu-info.com.ar
[email protected]
@seguinfo
@CursosSeguInfo
Sobre Cristian Borghello
• Licenciado en Sistemas UTN desde 2000
• Desarrollador desde los 8 años
• CISSP (Certified Information Systems Security
Professional)
• Microsoft MVP Security (Most Valuable
Professional)
• CCSK (Certificate Cloud Security Knowledge)
• Creador y Director de Segu-Info y Segu-Kids
• Instructor y Orador con experiencia
internacional en Seguridad
• Miembro de organizaciones internacionales
La Teoría
Cliente
Desarrolladores
Consultor
La Práctica
5 casos reales donde la práctica
no es como la teoría
Los hechos y personajes de estas historias
son ficticios y cualquier semejanza con la
realidad es pura coincidencia
Caso 1 - Energía
Cliente
Dev. Propios
C o n su l to r
Caso 1 - Energía
Cliente
Dev. Propios
C o n su l to r
Caso 1 - Energía
Antes
Después
• Se llama al consultor de
forma “obligada”
• No se contaba con área de
seguridad propio
• No se aceptaban las
recomendaciones de
terceros
• No se seguían buenas
prácticas ni lineamientos
de seguridad
• Se terminó solicitando la
opinión de terceros
imparciales
• Se comenzó a pensar en la
madurez del software y en la
seguridad del mismo
• Se capacitó a los
desarrolladores
Caso 2 – Alimentos
Cliente
Consultor
Marketing
Dev. Ext.
Caso 2 – Tiempos
Después de 8 meses el proyecto se dio por terminado...
pero la mitad de las vulnerabilidad no fueron corregidas
Caso 2 – Alimentos
Cliente
Consultor
Marketing
Dev. Ext.
Caso 2 – Alimentos
Antes
Después
• Toma de decisiones desde
áreas inadecuadas
• Acceso a la información
por parte de terceros
• Falta de buenas prácticas
• Falta de testing
• Se escuchó la opinión del
externo autorizado
• Se comprendió que la
información es lo más
importante
• Se comenzó a invertir en
desarrollo seguro
Caso 3 – Financiera
C o n su l t o r
Cliente
S e g u r id a d
M a r k e t i n g D e v e l o p e rs
Caso 3 – Financiera
Antes
Después
• Comunicación interna
deficiente
• Toma de decisiones desde
áreas inadecuadas
• Salida a producción sin
testing apropiado
• Se rediseño el workflow de
trabajo
• Se comenzaron a seguir
buenas prácticas de
desarrollo
• Cada aplicación se testea
interna y externamente
antes de salir a producción
Caso 4 – Bancaria
C o n s u l to r
Cliente
S e g u r id a d
Developers
Caso 4 – Bancaria
C o n s u l to r
Cliente
S e g u r id a d
D eIvnesli od pe er r s
¡Booooom!
Caso 4 – Bancaria
Antes
Después
• “Lo que funciona no se
• La investigación interna
facilitó la detección de
errores de gestión y técnicos
• Se optó por realizar modelado
de amenazas a las App
• Se decidió seguir buenas
prácticas de desarrollo
seguro
• Se agregaron más y mejores
registros de incidentes
toca”
• Falta de pericia en la
causa del incidente
• Se asumió que el error era
de la App
• Desarrolladores “con
poder” dentro de la
organización
• Existencia de Insiders
Caso 5 – Salud y PyME
C o n su l t o r
C l i e n te
Soft Factory
Caso 5 – Salud y PyME
C o n su l t o r
C l i e n te
Soft Factory
Caso 5 – Salud y PyME
Antes
Después
• Software Factory sin
conocimiento pero con
ganas de crecer
• Modelo de desarrollo
complejo con demasiados
actores y con acceso a la
información
• ¿Quién almacena y accede
a la información?
• ¿Quién prueba? ¿Quién
implementa?
• Reconocimiento de
debilidades en seguridad
• Visión y reconocimiento de
la seguridad de la
información
• División de responsabilidad
de acuerdo al proyecto
Conclusiones
• La práctica nunca es igual a la teoría
• Todos los negocios son distintos
• Las normas y buenas prácticas son muy
buenas, pero deben adecuarse a cada
negocio
• Nuestras recomendaciones pueden no ser
tomadas a bien (paciencia!)
• La seguridad es imprescindible en
cualquier proyecto de desarrollo actual
Conclusiones
• Los de seguridad somos bichos raros, hay
que convivir con eso y aportar lo mejor
• Los proyectos no giran alrededor nuestro,
nosotros giramos alrededor del negocio
Ashley Madison tiene juicios
millonarios que amenaza su
negocio… Y todo por una App
mal asegurada
Gracias!
Lic. Cristian Borghello, CISSP – CCSK – MVP
www.segu-info.com.ar
[email protected]
@seguinfo
@CursosSeguInfo