Post on 12-Jul-2018
Actualmente la mayoría de los ataques exitosos
están dirigidos contra las aplicaciones, sin
embargo las organizaciones siguen focalizando
sus esfuerzos y recursos en la protección de la
infraestructura tecnológica.
Esta es la causa principal por la cual las
organizaciones de diversos países, tamaños y
sectores están siendo fácilmente vulneradas por
distintos tipos de cibercriminales.
La mayoría de las veces estos ataques pasan
desapercibidos.
Baufest ofrece un completo portafolio de servicios
y soluciones especializadas en la protección
profesional de aplicaciones.
INFRAESTRUCTURA
ATAQUES EXITOSOS 80%
APLICACIONES
Secure Software DevelopmentIntroducción
Secure Software
Development
Ob
jetiv
os
Solución
Consultoría
Necesidades
Secure Software DevelopmentIntroducción
La identificación oportuna, evaluación y gestión de riesgos de seguridad asociados a las aplicaciones de
negocios, redes, dispositivos móviles así como su entorno tecnológico
relacionado; permiten que las empresas puedan hacer frente a las
amenazas emergentes al mismo tiempo que mantienen el
cumplimiento de la normativa aplicable, los requisitos legales y los
estándares de la industria
Somos una unidad especializada en apoyar a empresas que están en el proceso de aseguramiento de su
SDL. Ayudamos a evitar el rediseño y el retrabajo asociado con el diseño
inseguro y los defectos de implementación en código que se descubren, a menudo, demasiado
tarde en el ciclo de vida de desarrollo. De esta manera se evitan potenciales demandas de los clientes, sanciones
legales, multas y pérdidas de reputación.
Secure Software DevelopmentIntroducción
Inicial
• Cuestiones de
seguridad abordadas
por aplicación de
parches existentes
• Contratación de
empresas de
consultoría en
seguridad para llevar
a cabo pruebas
mediante Ethical
Hacking o Penetration
Testing.
Repetible
• Análisis de
vulnerabilidades en
aplicaciones de alto
riesgo.
• Estándares de
codificación y
desarrollo seguro
documentados.
• Herramientas de
análisis dinámico y de
código fuente
aprobadas.
Definido
• Proceso de
evaluación de la
vulnerabilidades
definido para todas
las aplicaciones.
• Proceso de análisis de
código fuente de las
aplicaciones críticas.
• Metricas de
vulnerabilidades
utilizadas para la
evaluación de riesgos.
Administrado
• La seguridad es capaz
de medir los avances
en la detección y la
mitigación de las
vulnerabilidades de
forma temprana en el
SDLC.
• Los Riesgos del
software se gestionan
durante el SDLC.
• Ingeniería es capaz
de gestionar los
costos de las
vulnerabilidades
Optimizado
• Nuevas
oportunidades para
mejorar la seguridad
del software con la
adopción de nuevas
herramientas y/o
procesos
identificados durante
el diseño, desarrollo y
pruebas.
• Actividades de
seguridad ineficientes
son identificadas y
reemplazadas de
manera dinámica.
¿Dónde
estoy?¿Dónde quiero
estar?
Secure Software DevelopmentVisión
¿Qué enfoques de desarrollo se han
establecido para crear aplicaciones más
seguras?
¿Nuestras aplicaciones tienen alguna
restricción de nivel cumplimiento o están
alcanzadas por alguna directiva o normativa?
¿Contamos con métricas que nos permitan
evaluar el actual costo de remediación de las
fallas en el desarrollo?
¿Cómo es que el riesgo de software en los
dispositivos móviles funciona distinto que en
el software empresarial?
¿Cómo es que estas aplicaciones interactúan
con nuestros servidores internos?
¿Tenemos establecida la habilidad interna
para gestionar ese riesgo?
¿Mis desarrolladores tienen más o menos
probabilidades de entender los conceptos
de seguridad que otros desarrolladores?
¿Estamos seguros de que la información
confidencial no se quedará en un
dispositivo después de que una sesión
haya terminado?
¿actualmente cual es el real ROI/TCO que
tengo en seguridad en desarrollo? ¿Debería
invertir mas en Herramientas, Consultoría o
en mejorar y ampliar mi equipo?
¿Mi equipo de desarrollo esta preparado para
hacer frente a todo lo nuevo que demanada
el negocio como: entornos híbridos, Cloud,
IoT, Mobile, o Cosumerization?
Secure Software DevelopmentVisión
Ninguna iniciativa de
Seguridad en
desarrollo de software
es igual.
Nuestro equipo de
expertos tienen una
amplia experiencia
trabajando con clientes
de todos los tamaños e
industrias.
Ayudamos a las
empresas a construir
una iniciativa de
seguridad en desarrollo
de software que se
adapte a sus procesos,
su gestión de riesgo y
su estructura
organizacional.
Secure Software Development
Secure Software Development
Staff
AugmentationThreat Modeling
SDL
Transformation
Security Design
and ArchitectureSDL Tools
Integration
Secure
Development
Training
Secure Software DevelopmentModelado de amenazas es el proceso estructurado por el que llegamos a identificar, clasificar y documentar los riesgos a nivel de aplicación.
El proceso de securización de aplicaciones comienza con entender las amenazas de seguridad que enfrentan y por lo tanto, la generación de un documento de modelado de amenazas es una de las piedras angulares de un ciclo de vida de desarrollo seguro (SDL).
EL Modelado de amenazas se realiza mejor utilizando un enfoque iterativo. La mayoría de la información se reúne y discute durante sesiones de trabajo de modelo de amenaza programadas y celebradas con miembros de los equipos de desarrollo de aplicaciones tales como gerentes, arquitectos, desarrolladores y seguridad.
El proceso de modelado de amenazas se realiza en las siguientes fases:
• Recopilación de información y planificación
• Descomposición de aplicaciones
• Análisis de Amenazas de aplicaciones
• Identificación de contramedidas y medición de riesgos
• Informes y Comunicación
Threat
Modeling
Secure Software DevelopmentPara que una aplicación sea segura, debe ser diseñada con la seguridad como una consideración primordial. La identificación y gestión de los posibles riesgos de seguridad en una aplicación de gran tamaño es una tarea compleja. Los Profesionales de BAUFEST han realizado el diseño y la arquitectura de seguridad para varias aplicaciones críticas y pueden proporcionarle una orientación basada en la experiencia.
Es importante realizar revisiones al diseño y la arquitectura de una aplicación a intervalos definidos con regularidad. Estas revisiones pueden ser desencadenadas por la adición de nuevas características, el descubrimiento de nuevas amenazas, o durante la fase de diseño de una nueva versión de la aplicación.
La mayoría de la información básica necesaria para realizar estas actividades procede de artefactos recogidos o creados durante el último modelo de amenazas.
El proceso de Diseño y Arquitectura de Seguridad se realiza en las siguientes fases:
• Verificación de Información
• Análisis de requisitos de seguridad de la aplicación
• Análisis de Implementación, Red y Infraestructura
• Análisis de los componentes de la aplicación
• Informes y Comunicación
Security
Design and
Architecture
Secure Software DevelopmentLa implementación de un ciclo de vida de desarrollo seguro (SDL) es una tarea compleja y una difícil transformación para cualquier organización. BAUFEST cuenta con experiencia tanto en el desarrollo y la implementación de un nuevo SDL donde éste no existe, así como en la gestión de planes existentes mediante asesoramiento y consultoría para la mejora de las prácticas que ya se encuentran en funcionamiento.
Gestión de proyectos de SDL
Baufest cuenta con profesionales de la seguridad de la información con experiencia en gestión de proyectos y con amplia familiaridad con la gestión del diseño, la integración de procesos y las tecnologías necesarias para llevar adelante su plan de SDL.
Proceso de Revisión de Seguridad del SDLC
El primer paso en la implementación de un ciclo de vida de desarrollo seguro (SDL) implica obtener una comprensión de la situación actual de una organización, la determinación del nivel de madurez de la seguridad en las diferentes etapas del ciclo de desarrollo. Con esta información podemos comparar y contrastar a la organización en relación con otras en la industria, segmento y/o región.
Revisión de Madurez
Utilizando modelos líderes en la industria, tales como OpenSAMM y BSIMM Baufest proporcionará un análisis de la madurez actual de la organización en seguridad durante el desarrollo.
Desarrollo de Hoja de Ruta
Sobre la base de una revisión de madurez, Baufest puede ayudar en el desarrollo del plan estratégico de la organización para la mejora del plan de SDL de su organización.
SDL
Transformation
Secure Software Development
¿Siente que no esta recibiendo el máximo beneficio en la utilización de herramientas de Análisis Estático o Análisis Dinámico?
Baufest posee una amplia experiencia en una gran variedad de soluciones de seguridad en SDL, y puede ayudar a su organización para que pueda aprovechar al máximo los beneficios de su inversión.
La integración de cualquier solución de desarrollo seguro en sus procesos y prácticas de negocio existentes puede ser difícil. Baufest ofrece un enfoque flexible, para ayudar a las organizaciones en la toma decisiones y para que la mayor parte de su inversión se manifieste en una automatización efectiva.
• Análisis Estático
• Despliegue de Software de seguridad
• Planificación / Implementación
• Personalización
• Análisis Dinámico
• Despliegue de Software de seguridad
• Implementación de escaneo de aplicaciones automatizado
SDL Tools
Integration
Secure Software DevelopmentLos equipos de desarrollo rara vez cuentan con los recursos necesarios y los conocimientos internos de seguridad para lograr implementaciones que sean seguras de manera constante y consistente.
Baufest puede ayudar a elevar el nivel de concientización sobre seguridad dentro de un equipo de desarrollo mediante la prestación de transferencia de conocimiento a demanda, asistencia en pruebas y consultoría SDL. Los expertos en la materia de Baufest pueden abordar de inmediato las preguntas, inquietudes y formular recomendaciones relacionadas con la seguridad de software y ayudar a conseguir código seguro.
Baufest puede proporcionar experiencia en seguridad adicional en el tema en que una organización no tiene la experiencia interna, o donde la experiencia interna no se encuentra disponible.
Baufest también puede proporcionar asistencia en Testeos de seguridad, tales como la realización de pruebas de penetración ad-hoc o revisión de código fuente, como parte de un proceso de desarrollo.
Staff
Augmentation
Secure Software Development
¿Cuentan sus desarrolladores con el conocimientos y las herramientas para construir aplicaciones suficientemente seguras?
Escribir código seguro requiere la comprensión de los fundamentos del desarrollo seguro - las técnicas y los procesos que conducen a la generación consistente y repetible de código seguro y robusto.
Baufest ofrece cursos de formación de seguridad avanzados; diseñados para enseñar técnicas para probar la seguridad de aplicaciones y la creación de aplicaciones seguras.
Las clases cubren los fundamentos de seguridad de aplicaciones y las trampas mas comunes de seguridad desarrollo.
Todos los cursos de formación de Baufest incluyen demostraciones en vivo, ejemplos interactivos y tests para reforzar los conceptos aprendidos durante la clase.
Secure
Development
Training
Usted ha asegurado su
perímetro, configuró la
detección de intrusos, y
aumentó la vigilancia. Sin
embargo, sus aplicaciones,
incluso aquellas que están en
sus propios servidores,
todavía pueden proporcionar
a los hackers una ruta a sus
datos u otra información
sensible.
Además del análisis estático
y dinámico de las
aplicaciones web o móviles,
los servicios de evaluación
de seguridad de aplicaciones
de Baufest hacen que sus
servidores de aplicaciones y
APIs estén igualmente
protegidos, proporcionando a
su organización una solución
de testeo única para todas las
aplicaciones.
Secure Software Development
Pruebas de Seguridad de Aplicación
Las pruebas de Seguridad de Aplicación combinan el acercamiento de seguridad técnica manual y automatizada para identificar
todas las vulnerabilidades comunes indicadas por el standard OWASP Top Ten 2013, WASC Threat Classification 2.0, SANS/CWE
Top 25, así como otros marcos de trabajo líderes de la industria.
La oferta de servicios de evaluación en seguridad de aplicación cubre aplicaciones web y servicios web.
•Perfilado del tipo
de aplicación
web.
Fase 1
•Exploración
automatizada de
seguridad de la
aplicación.
Fase 2•Determinación de
vulnerabilidades
de aplicación.
Fase 3
•Explotación de
vulnerabilidades
de aplicación.
Fase 4• Elaboración y
presentación de
informe de
resultados.
Fase 5
•Consultoría de
remediación y re-
evaluación.
Fase 6
Secure Software Development
Perfilado del tipo de aplicación web.
• El perfilado de la aplicación objetivo se realiza identificando puntos de entrada del usuario, entendiendo los mecanismos de seguridad centrales
empleados por la aplicación, interfaces a aplicaciones internas o externas, identificando roles con varios niveles de confianza y determinando el camino del
flujo de datos con indicios en límites de privilegios.
Exploración automatizada de seguridad de la aplicación.
• Exploradores de vulnerabilidades de aplicación automatizados (ya sean comerciales o de código abierto) son utilizados para sondear vulnerabilidades
específicas de aplicación cubriendo todas las referencias de OWASP, WASC y SANS.
Determinación de vulnerabilidades de aplicación.
• Esta fase involucra un acercamiento híbrido completo para identificar vulnerabilidades de seguridad de aplicaciones web con herramientas y scripts
automatizados junto con evaluación manual para eliminar falsos positivos o negativos. La evaluación manual utiliza varias bases de datos de
vulnerabilidades para identificar aquellas que puedan haberse filtrado durante la exploración manual, además de la verificación de seguridad para fallas en
la lógica del negocio, controles de acceso rotos y demás.
Explotación de vulnerabilidades de aplicación. – SOLO EN PROYECTOS DE PRUEBAS DE PENETRACIÓN –
• El foco primario en esta fase está en el uso de técnicas manuales de testeos de seguridad para explotar los sistemas que incluyan varias vulnerabilidades
para ponderar las medidas de endurecimiento de la aplicación, problemas de criptografía, controles de autenticación y autorización, módulo de
administración de sesión, fallas en la lógica de negocio y varias mediciones de validación. En escenarios de ataques para ambientes de producción se
usarán una combinación de cargas de vulnerabilidades en estricta concordancia con las reglas del compromiso acordado.
Elaboración y presentación de informe de resultados.
• Todas las vulnerabilidades de seguridad identificadas y validadas como explotables en la aplicación objetivo son registradas con una puntuación basada en
CVSS v2 y son reportadas al cliente. La vulnerabilidad de seguridad identificada es evaluada exhaustivamente y reportada junto con una apropiada
recomendación o medidas de mitigación.
Consultoría de remediación y re-evaluación.
• La consultoría de remediación engloba asistir al equipo del cliente en los pasos necesarios para remediar todas las vulnerabilidades de seguridad en
aplicación reportadas. Posteriormente a la remediación, una re-evaluación será conducida para validar la efectividad de las contramedidas de seguridad de
la aplicación usadas para mitigar la vulnerabilidad de seguridad reportada.
Secure Software Development
Pruebas de Seguridad de Aplicaciones Móviles
Las pruebas de Seguridad de Aplicación combinan el acercamiento de seguridad técnica manual y automatizada para identificar
todas las vulnerabilidades comunes indicadas por el standard OWASP Top Ten Mobile Security Risks 2013, así como otros marcos
de trabajo líderes de la industria.
La oferta de servicio de evaluación en seguridad de aplicación nativa móvil cubre aplicaciones instalables en varias plataformas
móviles tales como Android, iOS, o Windows Mobile.
•Perfilado de la
aplicación móvil
Fase 1
•Exploración
automatizada de
seguridad de
aplicación.
Fase 2•Determinación de
vulnerabilidades
de la aplicación
móvil.
Fase 3
•Explotación de
vulnerabilidades
de la aplicación
móvil
Fase 4•Elaboración y
presentación de
informe de
resultados.
Fase 5
•Consultoría de
remediación y re-
evaluación.
Fase 6
Secure Software Development
Perfilado de la aplicación móvil
• El perfilado de la aplicación nativa objetivo se realiza identificando puntos de entrada del usuario, entendiendo los mecanismos de seguridad centrales
empleados por la aplicación.
Exploración automatizada de seguridad de aplicación.
• Exploradores de vulnerabilidades de aplicación móvil automatizados (ya sean comerciales o de código abierto) son usados para sondear vulnerabilidades
específicas de aplicación nativa cubriendo todas las referencias de OWASP y SANS.
Determinación de vulnerabilidades de la aplicación móvil.
• Esta fase involucra un acercamiento hibrido completo para identificar vulnerabilidades de seguridad de aplicaciones nativas móviles con herramientas y
scripts automatizados junto con evaluación manual para eliminar falsos positivos o negativos. La evaluación manual cubre un amplio rango de chequeos
de seguridad en el paquete de instalación, archivos en el sistema de archivos local, permisos de archivo inseguros, restricciones de autenticación y
autorización en aplicación nativa, fallas en la lógica del negocio, inyecciones del lado del cliente, validación del lado del servidor de datos ingresados en
aplicación nativa, reproducir vulnerabilidades de ataque, transferencia segura de información sensitiva y métodos de administración de sesión y manejo de
errores.
Explotación de vulnerabilidades de la aplicación móvil – SOLO EN PROYECTOS DE PRUEBAS DE PENETRACIÓN –
• El foco primario en esta fase está en el uso de técnicas manuales de testeos de seguridad para explotar la aplicación nativa móvil en la plataforma
respectiva que incluya varias vulnerabilidades para ponderar las medidas de endurecimiento de la aplicación nativa móvil, fallas en la lógica de negocio y
varias mediciones de validación, agregado a la lista de vulnerabilidades de seguridad determinadas en la etapa anterior.
Elaboración y presentación de informe de resultados.
• Todas las vulnerabilidades de seguridad explotables en la aplicación nativa móvil objetivo son evaluadas exhaustivamente, registradas con clasificaciones
de riesgos asociadas y son reportadas al cliente con una apropiada recomendación o medidas de mitigación.
Consultoría de remediación y re-evaluación.
• La consultoría de remediación engloba asistir al equipo del cliente en los pasos necesarios para remediar todas las vulnerabilidades de seguridad en la
aplicación nativa móvil reportadas. Posteriormente a la remediación, una re-evaluación será conducida para validar la efectividad de las contramedidas de
seguridad de la aplicación móvil usadas para mitigar la vulnerabilidad de seguridad reportada.
Secure Software Development
Secure Software Development
Entendiendo la dinámica y las
actuales necesidades de las
empresas de contar con
servicios de forma rápida y
que logren adaptarse de
forma transparente a sus
procesos y proyectos.
Baufest desarrollo tres
servicio en modalidad Fast
Track.
Estos servicios facilitan a los
clientes a elegir que contratar
en base a sus necesidades
actuales y su nivel de
madurez en los aspectos de
seguridad sobre su ciclo de
vida del desarrollo de
software.
Software Security Assurance Fast Track
Secure Software DevelopmentSoftware Security Assurance Fast Track
Security & Risk 360
Software Security
Assessment
Built-in Software
Security
SDLC
Security & Risk 360
• Nos aseguramos que cada proyecto cumpla con los estándares de la industria en materia de seguridad en desarrollo.
• Nuestro equipo de especialistas colabora con el área de Desarrollo en todas las actividades de Seguridad.
Built-in Software Security
• Analizamos el estado de madurez en materia de seguridad y diseñamos un plan de acción para mejorarlo.
Software Security Assessment
Secure Software DevelopmentSoftware Security Assurance Fast Track
Security & Risk 360
Software Security
Assessment
Built-in Software
Security
SDLC
Security & Risk 360
• Cuando los proyectos de su compañía requieren cumplir con estándares de seguridad, ya sea por normativa, compliance, criticidad de la información, Baufest asegura desde el primer minuto del proyecto y hasta su implementación en producción, que se cumplan todos los estándares de la industria en materia de seguridad en desarrollo. Con una visión de 360°, cubriendo todo el ciclo de vida del proyecto.
• A partir de un análisis del estado actual de madurez en materia de seguridad en desarrollo (As-Is), ayudamos a su empresa a entender cuáles son los estándares de la industria adecuados para el área IT, qué herramientas son las mejores y definimos el roadmap necesario para alcanzar el nivel de madurez ideal. Nuestras capacitaciones y esquemas de acompañamiento le permitirán llegar a la meta deseada (To-Be).
Built-in Software Security
• Nuestro equipo de especialistas certificados trabaja en coordinación con todo el área de IT de su empresa para asegurar todos los aspectos en materia de seguridad en Desarrollo, de forma de cumplir con los estándares definidos por la compañía.
Software Security Assessment
Definir la Arquitectura del Software
- User Stories- Diagramas UML
Generar el código de la aplicación
- Hacerlo para que pase las pruebas definidas
Adaptar el Modelo de Amenazas
- Análisis de Riesgo
Test-Driven DevelopmentTDD
- Escribir las pruebas de seguridad primero
Identificar y Mitigar las Amenazas
- Juegos Elevation of
Privilege y Cornucopia
Crear Casos de Prueba de seguridad y las Historias
de Abuso
El Modelado de Amenazas es Agile de manera nativa…
Secure Software DevelopmentMetodología
Secure Software Development
Daily Scrum
Security
ProductBacklog
SprintPlanning
SprintBacklog
PotentiallyShippable
Increment
Sprint
Review &
Retro
Security
Sprint
Metodología
Secure Software Development
Discutir los riesgos de seguridad activos.
Replanificar las tareas de seguridad.Daily Scrum
Actualizar el/los Modelos de Amenazas (on-going).
Codificación Segura (e.g. Assertions).
Pair programming con un especialista de seguridad.
Revisiones de código basadas en riesgo.
Pruebas de seguridad (incluyendo regresión).
Integración y despliegues contínuos validados como seguros.
Sprint
Metodología
Nuestro responsable de la Práctica
Posee una amplia y variada experiencia en diferentes mercados y posiciones, siempre ligado a las tecnologías
informáticas y comunicaciones. Su experiencia en IT y seguridad informática esta validada por su certificaciones
de Auditor Líder ISO 27001, MSCE + Security, ITIL, Auditor interno ISO 9001:2008, Certified Integrator in Secure
Cloud Services, Cloud Computing Foundation, BIGGER IS BETTER - BIG DATA - CLOUD UNIVERTY, CLODU - CLOUD
UNIVERSITY. Participó y lideró proyectos complejos en grandes empresas.
Especialidades:
Sólidos conocimientos y experiencia en proyectos relacionados con la implementación y mejora de un
sistemas de gestión de la calidad y de seguridad de la información.
Conocimientos:
ISO/IEC 27001, ISO/IEC 27002, 31000, 22301, 9001 Auditoría de Seguridad, COBIT, ITIL v3, SOX, PCI, BCRA.
LUCIANO MOREIRA DA CRUZ
Algunos de nuestros Technical leaders
• ISC2 CISSP
• ISACA CISA
• IRCA Certified Lead Auditor
ISO/IEC 27001
• MCSA Office 365
• Microsoft Specialist: Server
Virtualization 2012
• MCSA Windows Server 2008
• MCITP Virtualization
Administrator 2008R2
• MCITP Enterprise
Administrator 2008
• MCSE + Security 2003
LEONARDO ROSSO
• Certified Information System
Auditor (CISA)
• Lead Auditor ISO 25999-2
• Fundation ITIL v.3
• ISO 20000
• Curso Seguridad Informática
– Aplicación de LOPD
• La Seguridad en los Sistemas
de Información e Internet
(LOPD)
MARCELA MEYORÍN
• IRCA Certified Lead Auditor
ISO/IEC 27001
• VMware vSphere 5: Optimize
& Scale
• VMware Certified
Professional 5 - Data Center
Virtualization (VCP5-DCV)
• Microsoft Windows Server
2012
• MCTS Windows server 2008
• Red Hat Certified System
Administrator (RHCSA)
• CCNA
HECTOR MARTINOTI
• MCSE Communication
• MCSE Private Cloud
• MCSE Server Infrastructure
• MCSA Office 365
• MCTS Administering Office
365 for Small Business
• MCTS Implementing
Microsoft Azure
Infrastructure
• MCTS Server Virtualization
with Windows Server
CHRISTIAN IBIRI
SDL Transformation, Secure Development Training
• Análisis de madurez de la práctica de seguridad en
desarrollo e implementación del Framework de
Seguridad para el Desarrollo Seguro (OpenSAMM)
• Definición, desarrollo e implementación de las
actividades necesarias para seguridad en
desarrollo en el marco metodológico interno.
• Elaboración de políticas, estándares y lineamientos
de desarrollo seguro para diferentes plataformas y
proyectos.
• Elaboración de material de concientización y
capacitación para modalidad presencial /
eLearning sobre seguridad en desarrollo para
Tenaris University
• Definición de métricas y modelo de análisis de
riesgo para el desarrollo de nuevas aplicaciones.
Tenaris
SDL Transformation, Security Design and Architecture, Threat Modeling
• Definición, desarrollo e implementación de las actividades
necesarias para garantizar la seguridad en el desarrollo en el marco
de un proyecto específico.
• Diseño y despliegue de un ambiente de desarrollo seguro
virtualizado y aislado de otros proyectos con acceso limitado al
equipo de desarrollo.
• Diseño de la arquitectura de seguridad del producto y los controles
específicos a implementar para resolver cada requerimiento.
• Facilitación de actividades de modelado de amenazas mediante la
técnica de naipes con Microsoft Elevation of Privilege y OWASP
Cornucopia.
Fundación Sadosky
Security Assessments, SDL Transformation
Luego de un incidente de seguridad en su antigua
aplicación core, Giftcard contactó a Baufest solicitando
una evaluación de seguridad para comprobar el estado
del sistema existente y con eso lograr mitigar riegos en el
sistema nuevo a ser desplegado
• Evaluación de los distintos componentes del sistema
(procesos, personas, aplicaciones).
• Elaboración de recomendaciones para el nuevo
sistema.
• Planificación e implementación de un proyecto de
hardening de plataforma y aplicación.
• Asesoramiento respecto de buenas prácticas para el
despliegue de aplicaciones.
Oh! Gift Card
Security Assessments
Evaluación de seguridad sobre infraestructura
Cloud
• Evaluación de una aplicación desplegada
sobre Microsoft Azure.
• Asesoramiento respecto de buenas prácticas
para el desarrollo de aplicaciones.
DON MARIO
Desde 1991, brindamos servicios de Software & IT para grandes empresas
Oficinas en Argentina, Chile, México, España y USA
+1.000 proyectos en 50 países de América, Europa, Asia y África
+350 personas, +310 dedicadas a servicios e IT
Antigüedad top customers: entre 18 y 5 años
+95% índice de satisfacción de clientes
Desde 2008, entre las mejores empresas para trabajar en la Argentina
ISO 9001 en Gestión de Servicios de Software
Calificación Investment Grade otorgada por Standard & Poor’s
+23 años de innovación
Argentina
Buenos AiresTel.: +54 (11) 4118-8080Fax: +54 (11) 4118-8080Roosevelt 1655C1428BNC, Buenos AiresArgentina
Santa FeTel.: +54 (342) 412-0368San Jerónimo 1838S3000FPP, Santa FeArgentina
Spain
Tel.: +34 91 745-2763Fax: +34 91 561-5626c/ Francisco Giralte, 228002, MadridSpain
Mexico
Tel.: +52 (55) 5531-8878Fax: +52 (55) 5531-8878Avda. Ejército Nacional 678,Col. Polanco Reforma, Distrito Federal C.P. 11550 México D.F.
USA
Tel +1 (617) 275-24201 Broadway 14th floorCambridge, MA 02142USA
¡Muchas Gracias!
Luciano MoreiraIT & Security PracticeUnitManagerlmoreira@baufest.com
ChileTel.: +56 (2) 2840-9977General del Canto 526,7500652, Providencia, Santiago de Chile