No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

隆Se acaba el precio especial! Aprende Ingl茅s, AI, programaci贸n y m谩s.

Antes: $249

Currency
$209
Suscr铆bete

Termina en:

1 D铆as
8 Hrs
44 Min
54 Seg

Seguridad de aplicaciones

8/37
Recursos

Aportes 23

Preguntas 3

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

OWASP top 10 da para un curso completo, ponganse las pilas Platzi鈥

Seguridad de aplicaciones:

Ciclo de desarrollo seguro:
Recopilaci贸n de los requerimientos de la aplicaci贸n (Funcionales y no funcionale) => Dise帽o (Componentes de la app, arquitectura, comunicacion de componentes, lenguajes, frameworks) => Desarrollo (programacion de la app) => Pruebas (unitarias, funcionales, de seguridad con ataques comunes como inyeccion de codigo, etc ) => Despliegue (Publicacion de la app ) => Operaciones (Mantenimiento continuo y agregar funcionalidades para los usuarios) 鈥 Y se vuelve a repetir el ciclo desde Recopilacion de los requerimientos.

Los principales controles de seguridad que se suelen aplicar son:

  • Entrenamiento OWASP Top 10: como protegernos del top 10 fallos de seguridad mas comunes
  • An谩lisis estatico de c贸digo: Analizar el codigo sin compilar linea por linea con herramientas como SonarQube y Git Hub
  • An谩lisis din谩mico de c贸digo: Con el codigo ya compilado y corriendo. Intentar forzar fallos.
  • Arquitecturas seguras: Asegurarse que todos los componentes sean seguros y comunicacion correcta.
  • Modelo de Madurez (OWASP SAMM): Es un modelo que ayuda a formular e implementar una estrategia de mitigaci贸n de riesgos basandose en 5 pilares: Governance, Design, Implementation, Verification, Operations.

Estandares mas conocidos de seguridad:

  • CERT Secure Coding
  • ISO/IEC 27034-1:2011
  • ISO/IEC TR 24772:2013
  • NIST Special Publication 800-53
  • OWASP ASVS: Web Application Security Verification Standard

Seguridad de aplicaciones

Es la rama de la ciberseguridad que busca introducir buenas pr谩cticas al ciclo de desarrollo del software. La idea es que si se siguen buenas pr谩cticas en cada etapa (requerimientos, dise帽o, desarrollo, testing, etc) se reducir谩n los riesgos de seguridad.

Los controles de seguridad que pueden ser utilizados son:

  • Entrenamiento en OWASP Top 10: Brinda los conocimientos necesarios para protegerse de los 10 fallos de seguridad mas comunes.
  • An谩lisis estatico de c贸digo: Revisi贸n de c贸digo l铆nea a l铆nea sin compilar. SonarQube y GitHub brindan herramientas para esto.
    An谩lisis din谩mico de c贸digo: Revisi贸n de la aplicaci贸n en ejecuci贸n, intentando generar fallos de seguridad como SQL Injection o Cross-Site Scripting.
    Arquitecturas seguras: Verificar que todas las comunicaciones entre componentes sea correcta y segura.

Tambi茅n pueden usarse frameworks como OWASP SAMM, el cual permite determinar el nivel de madurez de la seguridad de la organizaci贸n y ayuda a implementar una estrategia para mitigar los riesgos. En pocas palabras, define 5 pilares a revisar mediante un cuestionario.

Est谩ndares:

  • CERT Secure Coding
  • ISO/IEC 27034-1:2011
  • ISO/IEC TR 24772:2013
  • NIST Special Publication 800-53
  • OWASP ASVS: Web Application Security Verification Standard

Dejo aqu铆 la traducci贸n al espa帽ol del OWASP top ten, realizado por la misma organizaci贸n.
https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf

En que momento sugiere usar OWASP, es decir, para cualquier desarrollo sin importar la complejidad o c贸mo ser铆a?

Me parece excelente este punto, mucha veces no entienden que un dev debe saber de seguridad y tener un c贸digo limpio libre de amenazas

Actualmente la entidad donde trabajo debe gestionar plataformas de ciberseguridad con las cuales realiza actividades de control a trav茅s de una serie de herramientas que debe mantener actualizadas:
鈥 Proxy: Mediante una adecuada configuraci贸n de Proxy, el WebMaster de la entidad establece los controles de filtros de navegaci贸n de cada empleado con el cual se restringe y limita el acceso a internet de los empleados.
鈥 Antivirus: A trav茅s de herramientas como Windows Defender y Symantec EndPoint Protection se controla la base de datos de antivirus a los que la entidad puede verse expuesta.
鈥 Boardgent: Se tiene un control establecido para que solo las 谩reas autorizadas para dar soporte a los usuarios puedan tener acceso a la BIOS de los PC de usuario final.

La seguridad de aplicaciones est谩 relacionada con cada fase del ciclo de vida del desarrollo seguro de software, ya que es importante tener en cuenta la seguridad a lo largo de todo el proceso de desarrollo de software.

  1. En la fase de an谩lisis de requisitos o Requerimientos, es importante considerar cu谩les son los requisitos de seguridad del software y c贸mo se pueden cumplir. Por ejemplo, es posible que sea necesario incluir autenticaci贸n de usuario o encriptaci贸n de datos para cumplir con los requisitos de seguridad.

  2. En la fase de dise帽o, es importante dise帽ar el software de manera segura, teniendo en cuenta factores como la arquitectura del sistema, la protecci贸n de datos y la protecci贸n contra ataques de inyecci贸n de c贸digo.

  3. En la fase de implementaci贸n o desarrollo, es importante asegurarse de que el c贸digo cumpla con los est谩ndares de seguridad y de que se realicen pruebas de seguridad adecuadas.

  4. En la fase de pruebas, es importante realizar pruebas exhaustivas para asegurar que el software es seguro y est谩 libre de vulnerabilidades.

  5. En la fase de despliegue, es importante asegurarse de que el software se instala y se configura de manera segura en los sistemas de producci贸n.

  6. En la fase de operaciones o mantenimiento, es importante seguir monitoreando la seguridad del software y realizar actualizaciones y mejoras de seguridad seg煤n sea necesario. Esto puede incluir la instalaci贸n de parches de seguridad, la actualizaci贸n de versiones del software y la realizaci贸n de pruebas de seguridad peri贸dicas para identificar vulnerabilidades.

En la empresa en la cual trabajo se ha implementado un control de seguridad el, cual consiste en el monitoreo de posibles incidente de seguridad a trav茅s de conexiones a la red externa. Tambi茅n se cuenta con seguimientos a los hallazgos identificados en pruebas de vulnerabilidad y penetraci贸n en los sistemas de informaci贸n e infraestructura tecnol贸gica.

La ciberseguridad tiene muchas aplicaciones pr谩cticas en la vida real, y en las organizaciones deber铆a de ser una de las ramas que mayor cuidado.
En las empresas de desarrollo implementar las buenas pr谩cticas para tener un mejor c贸digo y sobre todo, para proteger la aplicaci贸n que se esta desarrollando de posibles ataques, eso es fundamentar, cada d铆a aumentan los atacantes y los niveles de protecci贸n deben de aumentar mucho m谩s.
Las empresas deben de tener controles rigurosos para mejorar los sistemas y as铆 brindar soluciones eficientes. Es fundamentar proteger los pilares de seguridad de la informaci贸n, y aqu铆 hablamos de la disponibilidad, integridad y confidencialidad.
Disponibilidad: qu茅 la informaci贸n est茅 disponible en todo momento y cuando sea requerida.
Integridad: Qu茅 la informaci贸n no sea manipulada sin autorizaci贸n de las personas propietarias o autorizadas. La informaci贸n se debe preservar tal como se encuentra, y solo puede ser modificada por personas autorizadas.
Confidencialidad: La informaci贸n solo debe de estar disponible para las personas con autorizaci贸n para ver o disponer de dicha informaci贸n, protegiendo que las personas que no tiene inter茅s en la misma tengan acceso y aqu铆 es donde se deben de aplicar los pilares de seguridad y las buenas pr谩cticas.

Recomiendo Veracode para an谩lisis est谩ticos y din谩micos

soy freelnace y no llevo mucho, entonces de momento no tengo un claro control de seguridad, pero esperar que depronto e este curso, se pueda tratar de aplicar. disculpen Nunca pares de aprender y que Dios olos bendiga
Les dejo la versi贸n m谩s reciente (2021) de OWASP Top 10 <https://owasp.org/Top10/es/>

Seguridad de aplicaciones

Es la rama de la seguridad que se preocupa por introducir pr谩cticas seguras al ciclo de desarrollo de software. Busca mejorar las pr谩cticas de seguridad y as铆 prevenir incidentes de seguridad en las aplicaciones.

En cada una de las fases, es importante tener la seguridad en mente.

Controles de seguridad

  • Entrenamiento OWASP Top 10: Es una organizaci贸n que se preocupa por capacitar a desarrolladores en la seguridad de aplicaciones. Tiene muchos productos, el mas reconocido es el TOP 10 (fallas de seguridad m谩s comunes)
  • An谩lisis est谩tico de c贸digo: Se trata de analizar el c贸digo antes de ejecutarlo. Existen herramientas para probarlo.
  • An谩lisis din谩mico de c贸digo: Se trata de probar el c贸digo en ejecuci贸n.
  • Arquitectura seguras: Verificar que todos los componentes sean seguros y que funcionen correctamente en conjunto.

OWASP SAMM

Modelo de madurez de aseguramiento de software (SAMM): Es un framework abierto que ayuda a las organizaciones a formular e implementar una estrategia para la seguridad del software que se ajuste a los riesgos que enfrente la organizaci贸n.

  • Este framework tiene 5 pilares que llaman funciones de negocio. Cada uno tiene 3 pr谩cticas de seguridad y cada pr谩ctica, tienes 2 streams.
  • Es un cuestionario en donde nos hacen preguntas para medir que tanto estamos cumpliendo con las normativas o las pr谩cticas de seguridad.

Ciclo de vida del desarrollo seguro del Software (SDLC):
Un ciclo de desarrollo seguro es un marco para que todo el proceso de construcci贸n de un sistema, o aplicaci贸n, se realice de forma segura. Para ello, se realizan pruebas de seguridad durante todas las fases de desarrollo.

La seguridad de aplicaciones se enfoca en introducir pr谩cticas seguras en el ciclo de desarrollo de software para prevenir incidentes de seguridad. Los controles de seguridad incluyen entrenamiento OWASP Top 10, an谩lisis est谩tico y din谩mico de c贸digo, arquitecturas seguras y el modelo de madurez OWASP SAMM. Los est谩ndares incluyen CERT Secure Coding, ISO/IEC 27034-1:2011, ISO/IEC TR 24772:2013, NIST Special Publication 800-53 y OWASP ASVS.

Modelo de madurez
(OWASP SAMM)

El modelo de madurez de aseguramiento de Sofware (SAMM) es un framework abierto que ayuda a las organizaciones a formular e implementar una estrategia para la seguridad del software que se ajuste a los riesgos que enfrente la organizaci贸n

Ciclo de vida del desarrollo seguro de software

鈥 Requerimientos.
鈥 Dise帽o.
鈥 Desarrollo.
鈥 Pruebas
鈥 Despliegue
鈥 Operaciones

驴Qu茅 control de seguridad te gustar铆a aplicar en tu empresa?
Respuesta:

  1. Entrenamiento para los desarrolladores de la Empresa en OWASP TOP10.
  2. An谩lisis est谩tico de c贸digo
  3. An谩lisis din谩mico de c贸digo
  4. Arquitecturas Seguras
  5. El modelo de madurez de aseguramiento de software SAMM