LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM...

29
LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo

Transcript of LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM...

Page 1: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE

OWASP LATAM TOUR 2013, MONTEVIDEO

Gerardo Canedo@GerardoMCanedo

Page 2: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Sobre mi …

o 10+ años Desarrollo

o 5 años Arquitecto

o 3 años vinculado a Seguridad

Page 3: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

o Soluciones de Software a Clienteso Desarrollo con GeneXus

Page 4: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Aquellos viejos tiempos …

o Usuarios

o Roles

o Filtro datos

o Botones habilitados por Rol

Page 5: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Aquellos viejos tiempos …

1. El cliente tiene un Firewall

2. La aplicación se publicaba en SSL (Internet)

3. La aplicación no es accesible desde Internet

4. La seguridad es un trabajo de Infraestructura

5. Seguidad es un Gasto

6. Nunca tuvimos problemas

Page 6: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Hasta que …

Page 7: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

¿Cómo seguimos?

Page 8: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Siguiente Nivel

Aseguramiento de la Seguridad

Equipo de Seguridad

Capacitación

Concientizar

Buenas Prácticas

Page 9: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Equipo de Seguridad

o Profesionales en Seguridad

o Multidisciplinarioo Gestión

o Desarrollo

o Test

Page 10: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Capacitación

o Cursos y Posgrados

Page 11: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Concientizar

Page 12: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Buenas prácticas

Análisis de

Riesgos

Revisión de Código

Test de Seguridad

Page 13: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Buenas prácticas

Análisis de

Riesgos

Revisión de Código

Test de Seguridad

Page 14: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Análisis de Riesgos del Negocio

o Determinar las amenazas para el negocio

o Ayuda a determinar los controles a incorporar con el presupuesto destinado

Page 15: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Análisis de Riesgos de la Arquitectura

Page 16: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Buenas prácticas

Análisis de

Riesgos

Revisión de Código

Test de Seguridad

Page 17: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

¿Qué es GeneXus?

Modelo GeneXus

Especificador

Código Intermedio

Ruby

Ejecución

Desarrollo

Page 18: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Revisión de Código

Modelo GeneXus

Especificador

Código Intermedio

Ruby

Revisión

Page 19: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

GeneXus Security Scanner

o http://

wiki.gxtechnical.com/commwiki/servlet/hwiki?Security+Sca

nner+extension+user+manual

http://wiki.gxtechnical.com/commwiki/servlet/hwiki?Security+Scanner+extension+user+manual
http://wiki.gxtechnical.com/commwiki/servlet/hwiki?Security+Scanner+extension+user+manual
http://wiki.gxtechnical.com/commwiki/servlet/hwiki?Security+Scanner+extension+user+manual
Page 20: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

GeneXus Security Scanner

Page 21: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Buenas prácticas

Análisis de

Riesgos

Revisión de Código

Test de Seguridad

Page 22: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Test de Seguridad

Código Intermedio

Modelo GeneXus

Especificador

Código Intermedio

Ruby

Pruebas

Page 23: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Autenticación y Autorización

Page 24: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Autenticación y Autorización

Page 25: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Mínima superficie de exposición

• Aplicación• Pruebas• Objetos Viejos• Artefactos Test• Inicializaciones

Aplicación

Page 26: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Test de Seguridad

Page 27: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Test de Pentración

o Aplicación Segura en ambiente de ejecución Seguro.

o Realizado por equipo independiente a la construcción.

Page 28: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

Lecciones aprendidas

o La seguridad no se eligeo Trasciende lo técnicoo Equipo de Seguridado Responsabilidad de todoso Capacitación continuao Se construye por medio de

actividades en el desarrollo

Page 29: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.

¡MUCHAS GRACIAS!

Gerardo [email protected]

@GerardoMCanedo

mailto:[email protected]

ENRIQUE DIEZ-CANEDO, COMO ESCRITOR

ENRIQUE DIEZ-CANEDO, COMO ESCRITOR

OWASP Y MYSQL39

OWASP Y MYSQL39

OWASP Latam Tour 2015 · 2020. 1. 17. · III Jornadas de Ingeniería de Sistemas IUP "Santiago Mariño" OWASP Latam Tour 2012. OWASP Latam Tour 2013. Taller ... Av. Urdaneta, Esquina

OWASP Latam Tour 2015 · 2020. 1. 17. · III Jornadas de Ingeniería de Sistemas IUP "Santiago Mariño" OWASP Latam Tour 2012. OWASP Latam Tour 2013. Taller ... Av. Urdaneta, Esquina

Owasp top 10_2007_spanish

Owasp top 10_2007_spanish

116 owasp mobile-top_10_security_risks

116 owasp mobile-top_10_security_risks

Desarrollo Seguro Usando OWASP

Desarrollo Seguro Usando OWASP

OWASP Guadalajara owasp/index.php/Guadalajara

OWASP Guadalajara owasp/index.php/Guadalajara

Escola básica de canedo erasmus+

Escola básica de canedo erasmus+

Owasp Latam tour 2014 - Poniendo el caballo delante del carro

Owasp Latam tour 2014 - Poniendo el caballo delante del carro

Presentation OWASP Day @ FIUBA.AR

Presentation OWASP Day @ FIUBA.AR

03-OWASP top 2013

03-OWASP top 2013

Canedo Los Saberes Docentes

Canedo Los Saberes Docentes

2013-1038 23 canedo arrillaga - Dialnet

2013-1038 23 canedo arrillaga - Dialnet

Aportación de la OWASP a la comunidad internacionalvicenteaguileradiaz.com/pdf/OWASP-10_anos_ de_aportaciones_a_la... · La OWASP Foundation es una organización sin ánimo de lucro

Aportación de la OWASP a la comunidad internacionalvicenteaguileradiaz.com/pdf/OWASP-10_anos_ de_aportaciones_a_la... · La OWASP Foundation es una organización sin ánimo de lucro

Conociendo al Enemigo HONEYPOTS - OWASP · Conociendo al Enemigo HONEYPOTS OWASP Latam Tour Venezuela 2015. ... 'Conoce a tu enemigo y conócete a ti mismo, y saldrás triunfador

Conociendo al Enemigo HONEYPOTS - OWASP · Conociendo al Enemigo HONEYPOTS OWASP Latam Tour Venezuela 2015. ... 'Conoce a tu enemigo y conócete a ti mismo, y saldrás triunfador

Informe OWASP

Informe OWASP

The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.

The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.

Owasp 2013 Top A10

Owasp 2013 Top A10

OWASP Development Guide 2.0.1 Spanish

OWASP Development Guide 2.0.1 Spanish

Enrique Díez-Canedo

Enrique Díez-Canedo