PDF de programación - Maestría en Seguridad Informática

Ágiles



Maestría en Seguridad Informática

Construcción de seguridad en metodologías

Jorge Ezequiel, Bo
Hugo Pagola
Alberto Dums



UBA - Maestría en Seguridad Informática

Agenda

1. Introducción



2. Metodologías Ágiles



3. Problema de estudio



4. Experimentación



5. Conclusiones



UBA - Maestría en Seguridad Informática

¿Qué entendemos?

 Legislaciones
 G. Riesgos
 G. Incidentes

Construcción

de

Seguridad



Mecanismos de seguridad

Funcionalidades de seguridad

VS.

Funcionalidades seguras

 Firewalls
 IDS


 Criptografía
 G. Identidad
 C. Acceso
 Firma Digital

UBA - Maestría en Seguridad Informática

Hechos recientes de problemas de seguridad

UBA - Maestría en Seguridad Informática

¿Como construir funcionalidades seguras?

Problemas

Implementación (Bugs)

Diseño (Flaws)

Introducción de prácticas de seguridad

Metodología de desarrollo

UBA - Maestría en Seguridad Informática

Metodologías de desarrollo

UBA - Maestría en Seguridad Informática

¿Tradicional o Ágil ?


Metodología tradicional…

…restringir el cambio
…ser predictivos



…difícil medir progreso



• Metodología Ágil…

…abrazar el cambio
…ser adaptativo
…fácil medir progreso
…iterativos


UBA - Maestría en Seguridad Informática

Metodologías
Tradicionales

Metodologías
Ágiles

UBA - Maestría en Seguridad Informática

Manifiesto Ágil

sobre procesos y herramientas

sobre documentación extensiva

• Individuos e interacciones


• Software funcionando


• Colaboración con el cliente


• Respuesta ante el cambio

sobre seguir un plan

sobre negociación contractual

UBA - Maestría en Seguridad Informática

¿Porque el esfuerzo?


 Alta productividad y bajos costos



 Mejora del compromiso del trabajador



 Mejores tiempos de salida al mercado

 Alta calidad



 Mejora de la satisfacción del cliente



UBA - Maestría en Seguridad Informática

Beneficios de implementar Ágil

33%



67%

67% de las organizaciones encontraron que Ágil ha
mejorado la frecuencia de release de sus productos Mayo
2009 –Forrester Research

74% de las organizaciones encontraron que las
prácticas Ágiles han aumentado la productividad
2008 State of Agile - VersionOne

26%

74%

34
%

66
%

66% de las organizaciones encontraron reducción
de costos en mas de un 10%
2008 State of Agile - VersionOne

UBA - Maestría en Seguridad Informática




UBA - Maestría en Seguridad Informática

Cuales son los obstáculos que aparecen al construir

Como …


seguridad en proyectos Ágiles



De organizaciones donde…


 La seguridad no es un jugador principal
 Esquema de negocio de software factory
 Recursos incorporados en demanda
 Equipos multidisciplinarios de diferentes skills
 No se encuentra estructurada en áreas funcionales



UBA - Maestría en Seguridad Informática

Propuestas de construcción de seguridad I

Implementación de un Security Development Lifecycle



Puntos débiles:

 Introducción de prácticas de seguridad según las fases tradicionales

de un proyecto


 Requieren de algún tipo de estructura de unidades funcionales en la

organización.


 Presuponen la existencia de algún tipo de proceso y nivel de

madurez



UBA - Maestría en Seguridad Informática

Propuestas de construcción de seguridad II

Utilizar prácticas Ágiles como punto de entrada para la

construcción de seguridad



Puntos fuertes

 Eliminar malos hábitos presentes en el uso de prácticas Ágiles



 Dotar a la práctica Ágil un enfoque en seguridad para la construcción

de funcionalidades seguras el cual no existe


 Funcionar como punto de transición para la adopción de iniciativas

más complejas en el futuro


UBA - Maestría en Seguridad Informática

Prácticas Ágiles mas adoptadas



a
c
i
t
c
á
r
P

Seguimiento de trabajo pendiente

Entrega continua

Participación interesados

Programación de a pares

Reuniones de retrospectiva

Refactorización

Planificación de iteraciones

Desarrollo guiado por test

Reuniones darias

Integración continua

28%

28%

35%

36%

39%

43%

44%

47%

47%

Porcentaje (%)

65%

UBA - Maestría en Seguridad Informática

Objetivos del trabajo

1. Fomentar y motivar el uso de prácticas de seguridad en las

2.

metodologías Ágiles

Identificar razones que llevan al no uso de prácticas de seguridad
en proyectos bajo estas metodologías


3. Crear una recomendación para la adopción de prácticas de

seguridad aplicables a este tipo de proyectos

UBA - Maestría en Seguridad Informática




UBA - Maestría en Seguridad Informática

Contexto

 Aplicaciones de comercio electrónico



 Gestión de información sensitiva



 Aplicación de metodologías Ágiles



 Equipo sin experiencia en seguridad



 Desarrollo sin implementación de practicas de seguridad



UBA - Maestría en Seguridad Informática

Procedimiento

1. Selección de una
muestra

3. Uso y propuesta de
prácticas ágiles con foco
en la seguridad

2. Observación del uso de prácticas
Ágiles, visión y roles de seguridad
en el campo de trabajo

Análisis, conclusiones y nuevas hipótesis

UBA - Maestría en Seguridad Informática

Equipo Objeto de Estudio

1 SSR. DEV
1 SR. DEV

1 Líder técnico
1 Manager

1 SSR. Tester

UBA - Maestría en Seguridad Informática

Clasificación de hallazgos

UBA - Maestría en Seguridad Informática

Vision de la seguridad

• Dependencia de factores internos y externos
a la organización

• Valor de la información que maneja el sistema

• Correspondiente a etapas de post-liberación

• Dependiente del alcance y los costos

• Poca participación en entrenamientos


UBA - Maestría en Seguridad Informática

Rol de la seguridad

• Desconocimiento de este rol

• Hay dudas sobre como incorporar este rol

• No existen fondos destinados entrenamientos



UBA - Maestría en Seguridad Informática

Prácticas utilizadas

• No se han utilizado prácticas de seguridad

• Existen dificultad en la aplicación de la metodología Ágil

• Tiempos excesivamente no alcanzan



UBA - Maestría en Seguridad Informática

Propuesta de cambio sugerida al equipo

Comenzar a otorgar un enfoque en seguridad a las prácticas Ágiles
utilizadas durante dos iteraciones

1. Planificación de iteraciones

2.


Integración continua


3. Programación de a pares



4. Whole team


UBA - Maestría en Seguridad Informática

Resultado

Planificación de iteraciones se comenzó a incorporar historias de
usuario relacionadas directamente con la seguridad de los requerimientos.

Integración continua el proceso no se utilizó solamente para verificar la
correcta compilación e integración del código fuente, sino que se
incluyeron analizadores de código estático para la detección de bugs.

Programación de a pares: dejo de ser utilizada como una práctica de
iniciación de nuevos programadores, y comenzó a utilizarse para evaluar
decisiones de diseño y realizar revisiones de código; atacando la
posibilidad de fallas y bugs.

Whole team: Se sugirió el uso de esta práctica.



UBA - Maestría en Seguridad Informática



Conclusiones

UBA - Maestría en Seguridad Informática

Dificultades al momento de adoptar una metodología Ágil



Ausencia de un mindset focalizado en seguridad por parte de la
organización



La falta de conocimientos y controles de seguridad necesarios por
parte de los desarrolladores



Visión de la seguridad como algo externo al desarrollo del software

UBA - Maestría en Seguridad Informática

Recomendaciones para la Construcción de
Seguridad

• Evaluación de madurez

• Desarrollo de una mentalidad segura

• Aplicación de practicas Ágiles como transición

hacia prácticas más seguras

• Transferencia del conocimiento al equipo

UBA - Maestría en Seguridad Informática

Preguntas

UBA - Maestría en Seguridad Informática