PDF de programación - Incorporación de prácticas de seguridad en metodologías Ágiles

Universidad de Buenos Aires

Facultades de Ciencias Económicas,

Ciencias Exactas y Naturales e Ingeniería



Maestría en Seguridad Informática



Tesis



Título

Incorporación de prácticas de seguridad en metodologías

Ágiles











Autor: Ing. Jorge Ezequiel Bo

Director de Tesis: Ing. Hugo Pagola





2013

Cohorte 2010









Declaración Jurada de origen de los contenidos

Por medio de la presente, el autor manifiesta conocer y aceptar el

Reglamento de Tesis vigente y que se hace responsable que la totalidad de

los contenidos del presente documento son originales y de su creación

exclusiva, o bien pertenecen a terceros u otras fuentes, que han sido

adecuadamente referenciados y cuya inclusión no infringe la legislación

Nacional e Internacional de Propiedad Intelectual.



Nombre y apellido: Jorge Ezequiel, Bo

D.N.I: 28234627



FIRMADO







Resumen

Las metodologías Ágiles, basan su éxito en dar respuesta a

desarrollos en ambientes con requerimientos muy cambiantes. Esto le

permite, mediante el desarrollo de ciclos cortos, obtener software

funcionando “en demanda” de alta calidad. Sin embargo, la realidad

demuestra que muchos equipos, en su afán de ser Ágiles fallan en el intento

obteniendo software que si bien responde a los requerimientos del cliente lo

hace con una calidad muy baja en cuanto a arquitectura y seguridad.

La ausencia de calidad en seguridad, se ve reflejada no solo en la

cantidad de defectos con la que el software es liberado, sino en la ausencia

de prácticas y recomendaciones de seguridad aplicadas durante el

desarrollo bajo la metodología adoptada.

La presente tesis analiza el concepto de seguridad en metodologías

Ágiles y los obstáculos que se presentan en el intento de construir seguridad

en forma progresiva.

Mediante una investigación de campo y con la ayuda de la teoría, se

demuestra en esta tesis que los obstáculos principales se deben a las

dificultades que presentan

las organizaciones para adaptarse a

las

metodologías Ágiles y a la falta de construcción de una mentalidad orientada

a la seguridad en los equipos de desarrollo. Se presenta una recomendación

para la construcción progresiva de seguridad en ambientes donde la

adopción inmediata de un marco de desarrollo de seguridad no es adecuada.



Palabras clave: Ágil, SDL, Scrum, XP, software security, building

security in.







Índice de contenidos

Declaración Jurada de origen de los contenidos ............................................ ii

Resumen ....................................................................................................... iii

Índice de contenidos ...................................................................................... iv

Prólogo .......................................................................................................... vi

Índice de Acrónimos y Abreviaturas ................................................................. i

1. Introducción ............................................................................................... 1

1.2 Antecedentes ........................................................................................ 1
1.3 Planteamiento del problema ................................................................. 4
1.7 Organización del trabajo....................................................................... 5

2. Método de trabajo ...................................................................................... 7

2.1 Introducción .......................................................................................... 7
2.2 Contexto ............................................................................................... 8
2.3 Procedimiento ...................................................................................... 8
2.4 Selección del equipo de desarrollo ....................................................... 9
2.5 Unidades de análisis y categorías encontradas ................................. 10
2.5.1 Unidad de análisis problema de seguridad ....................................... 11
2.5.2 Unidad de análisis estrategia de seguridad ..................................... 13
2.5.3 Unidad de análisis metodología Ágil ............................................... 15
2.6 Conclusión .......................................................................................... 17

3. Estableciendo las bases de la seguridad ................................................. 18

3.1 Introducción ........................................................................................ 18
3.2 Construcción de la seguridad en el software ...................................... 19
3.3 Factores que dificultan la construcción de seguridad ......................... 19
2.4 Prácticas de seguridad tradicionales .................................................. 20
3.5 Conclusión .......................................................................................... 22

4. Las metodologías Ágiles .......................................................................... 23

4.1 Introducción ........................................................................................ 23
4.2 ¿Qué es una metodología Ágil? ......................................................... 24
4.3 Adopción en el mundo ........................................................................ 24
4.4 Desafíos presentados a la seguridad ................................................. 25
4.5 Visión de la seguridad ........................................................................ 26
4.6 El rol del experto en seguridad ........................................................... 27
4.7 Conclusión .......................................................................................... 29

5. Prácticas de desarrollo Ágiles .................................................................. 30

5.1 Introducción ........................................................................................ 30
5.2 Un catálogo de prácticas .................................................................... 31
5.3 Prácticas con seguridad inherentes .................................................. 32
5.4 Dificultades en la aplicación ............................................................... 35
5.5 Conclusión .......................................................................................... 36

6. Introducción de prácticas de seguridad en Ágiles .................................... 37

6.1 Introducción ........................................................................................ 37





6.2 Selección de prácticas seguras .......................................................... 38
6.3 Selección de prácticas Ágiles con seguridad inherente ..................... 39
6.4 Resultados a partir de la interacción entre prácticas .......................... 40
6.5 Resultados sobre la metodología ....................................................... 41

7. Conclusión ............................................................................................... 42

7.4 Menciones .......................................................................................... 43
7.4 Recomendaciones .............................................................................. 43
7.4 Ampliaciones y trabajos futuros .......................................................... 44

ANEXO I. Identificación de instancias de unidades de análisis ................... 45

ANEXO II. Sesión de trabajo con el equipo para la observación de prácticas
Ágiles utilizadas ........................................................................................... 46

ANEXO III. Guía de entrevista sobre metodologías Ágiles y seguridad ....... 48

Bibliografía ................................................................................................... 56

Índice de Figuras ......................................................................................... 58

Índice de Tablas ........................................................................................... 59











Prólogo

Agradezco a mis compañeros de equipo la buena predisposición para

realizar las entrevistas y ser observados en sus ambientes de trabajo.





Bo, Jorge Ezequiel

Índice de Acrónimos y Abreviaturas

TERMINO

DEFINICION

BSIMM

Building Security In Maturity Model

CERT/CC Computer Emergency Response Team/Coordination Center

CWE/SANS Common Weekness Enumeration/ SysAdmin Audit, Networking

and Security Institute

MSDL

Microsoft SecurityDevelopment Lifecycle

MSF

Microsoft Solution Framework

OpenSAMM Open Software Assurance Maturity Model

OWASP

Open Web Application Security Project

RUP

SDL

SSF

SSr.

Sr.

TI

TDD

VPN

XP

Rational Unified Process

Security Development Lifecycle

Software Security Framework

Semi-Señor

Señor

Tecnología de Información

Test Driven Development

Virtual Private Network

Extreme Programming

Incorporación de prácticas de seguridad en metodologías ágiles



i







1. Introducción

Bo, Jorge Ezequiel

La seguridad en los sistemas y redes de computación en los últimos

años se ha visto comprometida principalmente por la calidad en materia de

seguridad del software ejecutándose en los dispositivos que los conforman.

Así, el surgimiento y la adopción masiva de dispositivos móviles, junto a la

migración de aplicaciones para que operen en la nube (cloud computing) y el

aumento en el intercambio de información mediante las redes sociales, ha

incrementado viejos y abierto nuevos vectores de ataques originados en las

vulnerabi