LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM...
-
Upload
purificacion-ortiz-castillo -
Category
Documents
-
view
212 -
download
0
Transcript of LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM...
![Page 1: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/1.jpg)
LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE
OWASP LATAM TOUR 2013, MONTEVIDEO
Gerardo Canedo@GerardoMCanedo
![Page 2: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/2.jpg)
Sobre mi …
o 10+ años Desarrollo
o 5 años Arquitecto
o 3 años vinculado a Seguridad
![Page 3: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/3.jpg)
o Soluciones de Software a Clienteso Desarrollo con GeneXus
![Page 4: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/4.jpg)
Aquellos viejos tiempos …
o Usuarios
o Roles
o Filtro datos
o Botones habilitados por Rol
![Page 5: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/5.jpg)
Aquellos viejos tiempos …
1. El cliente tiene un Firewall
2. La aplicación se publicaba en SSL (Internet)
3. La aplicación no es accesible desde Internet
4. La seguridad es un trabajo de Infraestructura
5. Seguidad es un Gasto
6. Nunca tuvimos problemas
![Page 6: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/6.jpg)
Hasta que …
![Page 7: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/7.jpg)
¿Cómo seguimos?
![Page 8: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/8.jpg)
Siguiente Nivel
Aseguramiento de la Seguridad
Equipo de Seguridad
Capacitación
Concientizar
Buenas Prácticas
![Page 9: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/9.jpg)
Equipo de Seguridad
o Profesionales en Seguridad
o Multidisciplinarioo Gestión
o Desarrollo
o Test
![Page 10: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/10.jpg)
Capacitación
o Cursos y Posgrados
![Page 11: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/11.jpg)
Concientizar
![Page 12: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/12.jpg)
Buenas prácticas
Análisis de
Riesgos
Revisión de Código
Test de Seguridad
![Page 13: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/13.jpg)
Buenas prácticas
Análisis de
Riesgos
Revisión de Código
Test de Seguridad
![Page 14: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/14.jpg)
Análisis de Riesgos del Negocio
o Determinar las amenazas para el negocio
o Ayuda a determinar los controles a incorporar con el presupuesto destinado
![Page 15: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/15.jpg)
Análisis de Riesgos de la Arquitectura
![Page 16: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/16.jpg)
Buenas prácticas
Análisis de
Riesgos
Revisión de Código
Test de Seguridad
![Page 17: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/17.jpg)
¿Qué es GeneXus?
Modelo GeneXus
Especificador
Código Intermedio
Ruby
Ejecución
Desarrollo
![Page 18: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/18.jpg)
Revisión de Código
Modelo GeneXus
Especificador
Código Intermedio
Ruby
Revisión
![Page 19: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/19.jpg)
GeneXus Security Scanner
o http://
wiki.gxtechnical.com/commwiki/servlet/hwiki?Security+Sca
nner+extension+user+manual
![Page 20: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/20.jpg)
GeneXus Security Scanner
![Page 21: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/21.jpg)
Buenas prácticas
Análisis de
Riesgos
Revisión de Código
Test de Seguridad
![Page 22: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/22.jpg)
Test de Seguridad
Código Intermedio
Modelo GeneXus
Especificador
Código Intermedio
Ruby
Pruebas
![Page 23: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/23.jpg)
Autenticación y Autorización
![Page 24: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/24.jpg)
Autenticación y Autorización
![Page 25: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/25.jpg)
Mínima superficie de exposición
• Aplicación• Pruebas• Objetos Viejos• Artefactos Test• Inicializaciones
Aplicación
![Page 26: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/26.jpg)
Test de Seguridad
![Page 27: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/27.jpg)
Test de Pentración
o Aplicación Segura en ambiente de ejecución Seguro.
o Realizado por equipo independiente a la construcción.
![Page 28: LECCIONES APRENDIDAS: LLEVANDO LA SEGURIDAD AL SIGUIENTE NIVEL EN UNA SOFTWARE HOUSE OWASP LATAM TOUR 2013, MONTEVIDEO Gerardo Canedo @GerardoMCanedo.](https://reader036.fdocument.pub/reader036/viewer/2022070418/5665b47f1a28abb57c91fbfd/html5/thumbnails/28.jpg)
Lecciones aprendidas
o La seguridad no se eligeo Trasciende lo técnicoo Equipo de Seguridado Responsabilidad de todoso Capacitación continuao Se construye por medio de
actividades en el desarrollo