Modelo de madurez de aseguramiento de software (SAMM) visto desde el ciclo de desarrollo de...
Transcript of Modelo de madurez de aseguramiento de software (SAMM) visto desde el ciclo de desarrollo de...
OWASP CIUDAD DE MÉXICO
Modelo de madurez de aseguramiento
de software (SAMM)
Un vistazo a la seguridad en el software Estadísticas Ejemplos
¿Cuáles son las estrategias actuales para el aseguramiento del software y su problemática?
¿Qué es un modelo de madurez de aseguramiento de software? OpenSAMM Propósito de SAMM
Estructura del modelo de madurez de aseguramiento de software Funciones de negocio Las 12 prácticas de seguridad para asegurar tu software ¿Qué nivel de madurez tengo?
¿Cómo implemento un modelo de madurez de aseguramiento de software en mi organización? SAMM visto desde el ciclo de desarrollo de software. Evaluación Inicial Recursos
Un vistazo a la seguridad en el
software
Estadísticas Costo de la fuga de información
Ponemon 2014 Annual Study Cost of a Data Breach
Estadísticas Promedio de registros comprometidos por fuga de información
Ponemon 2014 Annual Study Cost of a Data Breach
Estadísticas Costo promedio por registro comprometido
Ponemon 2014 Annual Study Cost of a Data Breach
Estadísticas Costo total por fuga de información
Ponemon 2014 Annual Study Cost of a Data Breach
Ejemplos
Ejemplos
Ejemplos
¿Cuáles son las estrategias
actuales para el aseguramiento
del software y su problemática?
Estrategias actuales
Revisiones de código fuente
Pruebas de seguridad
AV/PT
Fuzzing
Políticas de seguridad
Problemática
No cubren el ciclo de desarrollo de software.
Es un enfoque reactivo.
Los resultados de revisiones de código fuente y pruebas
de seguridad depende de la capacidad del equipo que las
ejecuta y llevan mucho tiempo ejecutarlas.
Las políticas de seguridad en el software no son
actualizadas.
No se cuenta con personal capacitado.
¿Qué es un modelo de madurez
de aseguramiento de software?
OpenSAMM
Por sus siglas en inglés Software Assurance Maturity
Model; es un marco de trabajo que le permite a las
organizaciones formular, conjuntar, e implementar una
estrategia integral de seguridad en el software adecuada a
los riesgos que enfrenta cada organización.
Su propósito
Evaluar las prácticas de seguridad en el software
existentes en una organización.
Construir un programa de aseguramiento de software
flexible y balanceado en iteraciones bien definidas.
Demostrar de manera concreta las mejoras en el
programa de aseguramiento del software.
Definir y medir actividades relacionas en la seguridad en
el software en la organización.
Estructura del modelo de
madurez de aseguramiento del
software
OpenSAMM
Gobierno Construcción Verificación Implementación
Fu
ncio
ne
s d
e
ne
go
cio
P
ráctica
s d
e s
eg
urid
ad
Estrategia y métricas
Educación y orientación
Política y cumplimiento
Requisitos de seguridad
Evaluación de la amenaza
Arquitectura de seguridad
Revisión de diseño
Pruebas de seguridad
Revisión de código
Fortalecimiento del ambiente
Admón. de vulnerabilidades
Habilitación operativa
Gobierno
GOBIERNO
Estrategia y métricas Política y cumplimiento Educación y orientación
Involucra la dirección estratégica del programa de aseguramiento y las actividades para recolectar métricas acerca de la postura de seguridad en el software de una organización
Establecimiento de una estructura de control y auditoría de seguridad para cumplir con los marcos regulatorios en el software.
Incrementar el conocimiento de seguridad entre el personal de desarrollo de software .
Construcción
CONSTRUCCIÓN
Evaluación de la amenaza Requisitos de seguridad Arquitectura de seguridad
Identificar y caracterizar con precisión los ataques potenciales contra el software en una organización.
Promover la inclusión de las necesidades de seguridad en el proceso de desarrollo de software.
Fortalecer el proceso de diseño de componentes arquitectónicos o comúnmente utilizados en el desarrollo de software.
Verificación
VERIFICACIÓN
Revisión de diseño Revisión de código Pruebas de seguridad
Inspeccionar los artefactos arquitectónicos creados para corroborar que cumplan con las expectativas de seguridad.
Evaluar el código fuente de las aplicaciones de la organización en busca de vulnerabilidades.
Probar el software en su ambiente de ejecución para la identificación de vulnerabilidades.
Implementación
IMPLEMENTACIÓN
Fortalecimiento del ambiente Administración de las vulnerabilidades
Habilitación operativa
Implementar controles para el ambiente operativo que rodea al software para reforzar la postura de seguridad de la organización.
Establecer procesos consistentes para administrar reportes (internos/externos) para limitar la exposición del software, recopilar información y de esa forma mejorar el modelo.
Identificar y capturar información relevante a la seguridad del que necesita un operador para configurar, instalar y ejecutar el software.
¿Qué nivel de madurez tengo?
Nivel 0. Punto de inicio, las actividades mencionadas en
la práctica de seguridad no se han realizado.
Nivel 1. Existe un entendimiento inicial y una provisión de
tipo “ad hoc” de la práctica de seguridad.
Nivel 2. Incremento de la eficiencia y/o efectividad de la
práctica de seguridad.
Nivel 3. Dominio amplio de la práctica de seguridad.
¿Cómo implemento un modelo
de madurez de aseguramiento
de software en mi organización?
SAMM visto desde ciclo de desarrollo de
software
Evaluación inicial
OWASP Ciudad de México está liberando un documento
para la evaluación inicial para la implementación de un
modelo de madurez de aseguramiento del software
(SAMM).
Recursos
OWASP: https://www.owasp.org/index.php/Category:Software_Assurance_Matur
ity_Model
OpenSAMM: http://www.opensamm.org
OWASP Ciudad de México:
https://www.owasp.org/index.php?title=Mexico_City
Carlos Isaac Sagrero Campos
OWASP Ciudad de México https://www.owasp.org/index.php?title=Mexico_City
GRACIAS