LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM...

LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE

OWASP LATAM TOUR 2013, MONTEVIDEO

Gerardo Canedo@GerardoMCanedo

Sobre mi …

o 10+ años Desarrollo

o 5 años Arquitecto

o 3 años vinculado a Seguridad

o Soluciones de Software a Clienteso Desarrollo con GeneXus

Aquellos viejos tiempos …

o Usuarios

o Roles

o Filtro datos

o Botones habilitados por Rol

Aquellos viejos tiempos …

1. El cliente tiene un Firewall

2. La aplicación se publicaba en SSL (Internet)

3. La aplicación no es accesible desde Internet

4. La seguridad es un trabajo de Infraestructura

5. Seguidad es un Gasto

6. Nunca tuvimos problemas

Hasta que …

¿Cómo seguimos?

Siguiente Nivel

Aseguramiento de la Seguridad

Equipo de Seguridad

Capacitación

Concientizar

Buenas Prácticas

Equipo de Seguridad

o Profesionales en Seguridad

o Multidisciplinarioo Gestión

o Desarrollo

o Test

Capacitación

o Cursos y Posgrados

Concientizar

Buenas prácticas

Análisis de

Riesgos

Revisión de Código

Test de Seguridad

Buenas prácticas

Análisis de

Riesgos

Test de Seguridad

Análisis de Riesgos del Negocio

o Determinar las amenazas para el negocio

o Ayuda a determinar los controles a incorporar con el presupuesto destinado

Análisis de Riesgos de la Arquitectura

Buenas prácticas

Análisis de

Riesgos

Test de Seguridad

¿Qué es GeneXus?

Modelo GeneXus

Especificador

Código Intermedio

Ejecución

Desarrollo

Modelo GeneXus

Especificador

Código Intermedio

Revisión

GeneXus Security Scanner

o http://

wiki.gxtechnical.com/commwiki/servlet/hwiki?Security+Sca

nner+extension+user+manual

GeneXus Security Scanner

Buenas prácticas

Análisis de

Riesgos

Test de Seguridad

Código Intermedio

Modelo GeneXus

Especificador

Código Intermedio

Pruebas

Autenticación y Autorización

Mínima superficie de exposición

• Aplicación• Pruebas• Objetos Viejos• Artefactos Test• Inicializaciones

Aplicación

Test de Seguridad

Test de Pentración

o Aplicación Segura en ambiente de ejecución Seguro.

o Realizado por equipo independiente a la construcción.

Lecciones aprendidas

o La seguridad no se eligeo Trasciende lo técnicoo Equipo de Seguridado Responsabilidad de todoso Capacitación continuao Se construye por medio de

actividades en el desarrollo

¡MUCHAS GRACIAS!

Gerardo Canedogcanedo@genexusconsulting.com

@GerardoMCanedo

LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM...

Documents

Transcript of LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM...

ENRIQUE DIEZ-CANEDO, COMO ESCRITOR

aw- villa Abbatini - Canedo

Playbook 34 Canedo 2009

Enrique diez canedo 2011

Steering a Bullet Train: Owasp Latam Tour BA 2015

Monografía Pentesting OWASP SBC

BIENVENIDOS · 2020. 1. 17. · BIENVENIDOS A la segunda edición del Latam Tour de OWASP en la Patagonia!!! ¿Qué es OWASP? OWASP es una organización sin fines de lucro que trabaja

OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

116 owasp mobile-top_10_security_risks

Aportación de la OWASP a la comunidad internacionalvicenteaguileradiaz.com/pdf/OWASP-10_anos_ de_aportaciones_a_la... · La OWASP Foundation es una organización sin ánimo de lucro

OWASP Guadalajara owasp/index.php/Guadalajara

Owasp Top10 FireFox

OWASP Development Guide 2.0.1 Spanish

Epigramas Americanos Enrique DíEz Canedo

Enrique Díez-Canedo, crítico literario

OWASP Testing Guide · OWASP LATAM TOUR 2012 4 Guía de Pruebas de OWASP La intención es que puedan poner en práctica esta guía en sus propias organizaciones. Qué es?

Owasp 2013 Top A10

MOTOLINÍA, ENIGMA HISTORIOGRÁFICO LINO GÓMEZ CANEDO

¿Qué es OWASP?

Owasp webgoat