PDF de programación - Seguridad en el desarrollo de SW

Seguridad en el desarrollo de
SW

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. WWW.ESTEGANOS.COM

ACIS

Jornada Nacional de

Seguridad

Seguridad en el Desarrollo de SW

Fernando Ferrer Olivares
CISA, PMP, CCSA, CISM
Socio fundador Estéganos International Group

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. WWW.ESTEGANOS.COM

Agenda

Introducción
El ciclo de vida de desarrollo de SW
Recursos
Consideraciones de Seguridad en el SDLC
NIST 800-64
Conclusiones

Introducción

Debilidades comunes en el SDLC que conllevan
a código vulnerable, e inevitablemente, a
deficiencias de seguridad

No entendimiento de las consecuencias a largo
plazo de un proceso de seguridad débil a través
del SDLC

No realizar modelos de amenazas
No establecer ni seguir estándares de seguridad en
SW

Conflicto de los objetivos de negocio con la
seguridad durante cada fase

Aplicaciones ricas en funcionalidad vs. Aplicaciones
seguras

Visualizar los requerimientos de seguridad en
el contexto equivocado

Seguridad general vs. Seguridad específica

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. WWW.ESTEGANOS.COM

Introducción

Debilidades comunes en el SDLC que conllevan
a código vulnerable, e inevitablemente, a
deficiencias de seguridad

Desarrollar sin pensar en la seguridad

Dedicación a la codificación
Desconocimiento
Requerimientos no claros
Carencia de liderazgo de proyecto
Carencia de un SDLC que incluya las actividades de
seguridad

Desarrollo de pruebas inadecuados

Pruebas de unidad vs. Pruebas de integración
Utilizar herramientas inapropiadas para
descubrir debilidades del SW

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. WWW.ESTEGANOS.COM

El ciclo de vida de desarrollo de
SW (SDLC)

Pasos que una
organización
sigue cuando
desarrolla
herramientas o
aplicaciones de
SW, incluyendo
orden,
responsables y
productos
generados
Debe estar bien
documentado
Ciclo de
mantenimiento

Definición conceptual
Definición conceptual

Requerimientos y Especificaciones
Requerimientos y Especificaciones

Funcionales
Funcionales

Requerimientos y Especificaciones
Requerimientos y Especificaciones

Técnicas
Técnicas

Diseño
Diseño

Codificación
Codificación

Prueba
Prueba

Implementación
Implementación

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. WWW.ESTEGANOS.COM

Recursos

Los siguientes artículos y estándares cubren tanto la
seguridad de la información y la codificación segura y
ofrecen principios, y procesos que usted puede integrar
inmediatamente para mejorar la seguridad del SW:

NIST Special Publication 800-64—Security Considerations in
the Information System Development Life Cycle
NIST Special Publication 800-27—Engineering Principles for
Information Technology Security
NIST Special Publication 800-55—Security Metrics Guide for
Information Technology Systems
ISO/IEC 12207:1995—Information technology—Software life
cycle processes
ISO/IEC 17799:2005—Information technology—Security
techniques—Code of practice for information security
management
Microsoft’s Trustworthy Computing Security Development
Lifecycle paper

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. WWW.ESTEGANOS.COM

Consideraciones de Seguridad en
el SDLC NIST 800-64

Esta guía presenta un modelo de referencia
(framework) para incorporar la seguridad en
todas las fases del proceso SDLC, desde el inicio
hasta la disposición
Ayuda a identificar controles de seguridad
efectivos en costo que pueden ser seleccionados
y adquiridos
Explica como incluir requerimientos de
seguridad de la información en las fases
apropiadas del SDLC

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. WWW.ESTEGANOS.COM

SDLC del NIST 800-64

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. WWW.ESTEGANOS.COM

Consideraciones de Seguridad
NIST 800-64

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. WWW.ESTEGANOS.COM

Consideraciones de Seguridad
NIST 800-64

Categorización de la Seguridad

La organización debe contar con un enfoque
estándar para establecer categorías de seguridad
para la información y los sistemas de información
Las categorías deben basarse en el impacto
potencial que ciertos eventos pueden causar sobre
los sistemas de información requeridos para
cumplir la misión, proteger los activos, cumplir las
responsabilidades legales mantener la continuidad
de las operaciones, y proteger a los individuos

Bajo, Moderado, Alto

Las categorías, en conjunto con información de
amenazas y vulnerabilidades, se utilizan para
valorar el riesgo de operar el sistema

Pérdida de confidencialidad, Pérdida de integridad,
Pérdida de disponibilidad

Las categorías facilitan la selección apropiada de
controles de seguridad para los sistemas de
información
FIPS Publication 199, Standards for Security
Categorization of Federal Information and
Information Systems

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. WWW.ESTEGANOS.COM

Consideraciones de Seguridad
NIST 800-64

Valoración preliminar del riesgo

Describir las necesidades básicas de
seguridad del sistema, en términos de
integridad, disponibilidad, confidencialidad,
accountability, no repudiación
Definir el ambiente de amenazas en el cual
operará el sistema
Identificación inicial de los controles de
seguridad requeridos
NIST SP 800-30, RiskManagementGuidefor
InformationTechnologySystems
NIST SP 800-53, RecommendedSecurity
ControlsforFederal InformationSystems

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. WWW.ESTEGANOS.COM

Consideraciones de Seguridad
NIST 800-64

Valoración formal y periódica del riesgo

Posibilita identificar los requerimientos de protección del sistema
Análisis más profundo y específico
Genera información esencial requerida para el Plan de Seguridad
Incluye:

Identificación de amenazas y vulnerabilidades en el sistema de
información
El impacto o magnitud de daño potencial que una pérdida de
confidencialidad, integridad, o disponibilidad podría causar sobre los
activos u operaciones de la organización (incluyendo misión, funciones,
imagen, reputación)
Debe considerar los controles existentes y su efectividad
La identificación y análisis de los controles de seguridad para el sistema
Debe realizarse antes de la aprobación de las especificaciones de
diseño
Puede suministrar justificaciones para especificaciones
No será necesariamente un documento largo y complejo
Requerirá la participación de personal apropiado
La selección de tipos de salvaguardas o contramedidas debe
considerar los resultados del análisis de requerimientos de
aseguramiento
Puede identificar deficiencias en el análisis de requerimientos de
integridad, confidencialidad y disponibilidad o en el análisis de
requerimientos de aseguramiento de seguridad
El análisis debe repetirse hasta alcanzar consistencia
NIST Special Publication 800-30, RiskManagementGuidefor
InformationTechnologySystems

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. WWW.ESTEGANOS.COM

Consideraciones de Seguridad
NIST 800-64

Valoración formal y periódica del riesgo

Adicional al sistema que se está desarrollando, debe considerarse la seguridad
de los sistemas a los cuales éste está conectado directa o indirectamente
One way to incorporate the context is to have an enterprise security
architecture. Without an enterprise perspective, the acquisition could be
suboptimal, even to the extent of introducing vulnerabilities. If the enterprise
context is not considered, there is a possibility that the system being acquired
could compromise the other enterprise systems. The system being acquired
may have a trust relationship with other enterprise systems, increasing the
consequences of a compromise.

Each enterprise system should address several enterprise-wide security
objectives:

A specific enterprise system should not create vulnerabilities or

unintended interdependencies in other enterprise systems.

A specific enterprise system should not decrease the availability of

other enterprise systems.

The security posture of the set of all the enterprise systems should not

be decreased because of this specific enterprise system.

External domains not under enterprise control should be considered

potentially hostile entities. The systems connected to such external
domains must analyze and attempt to counter hostile actions originating
from these domains.

Security specifications should be appropriate for the given state of the

system environment.

Security specifications should be stated clearly to convey the desired

functions and assurances to the enterprise system product team and the
developers.

Implemented specifications should sufficiently reduce the risks to the

enterprise system and to the enterprise mission that the system
supports.

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. WWW.ESTEGANOS.COM

Consideraciones de Seguridad
NIST 800-64

Análisis de requerimientos
funcionales de seguridad

Puede incluir las 2 fuentes de requerimientos
de seguridad del sistema

Ambiente de seguridad del sistema (política de
seguridad de la información de la empresa y
arquitectura de seguridad de la empresa)
Requerimientos funcionales de seguridad

Debe incluir un análisis de leyes y regulaciones
que definan requerimientos de seguridad
mínimos (baseline)
Los requerimientos de seguridad legales,
funcionales y de TI deben establecerse en
términos específicos
Para sistemas complejos, más de una iteración
del análisis de requerimientos puede
necesitarse
Énfasis en integridad, disponibilidad y
confidencialidad

CARRERA 18 NO. 86A 14. TELÉFONO: +57 (1) 6386223. FAX: +57 (1) 6163030. WWW.ESTEGANOS.COM

Consideraciones de Seguridad
NIST 800-64

Análisis de Requerimientos de Aseguramiento de la
Segur