Owasp pertence a la asociacin 501-C3 the open web aplication security Project, proyecto abieto de seguridad en aplicaciones web:

es una comunidad libre y abierta a nivel mundial exnfocada en mejorar la seguridad en las aplicaciones de software. Top 10 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Injection Sitios curzados Perdida de autentificacin y gestin de sesiones Referencia directa insegura a objetos Flasificaicon de peticin de sitios cruzados Configuracin defectuosa de seguridad Falla de restriccin de aceso a URL Almacenamitneo criptogrfico inseguro Proteccin insuficiente en la capa de transporte Redirecciones y destino no validados

Vista Lgica: En esta vista se representa la funcionalidad que el sistema proporcionara a los usuarios finales. Es decir, se ha de representar lo que el sistema debe hacer, y las funciones y servicios que ofrece. Para completar la documentacin de esta vista se pueden incluir los diagramas de clases, de comunicacin o de secuencia de UML. Vista de Despliegue: En esta vista se muestra el sistema desde la perspectiva de un programador y se ocupa de la gestin del software; o en otras palabras, se va a mostrar como esta dividido el sistema software en componentes y las dependencias que hay entre esos componentes. Para completar la documentacin de esta vista se pueden incluir los diagramas de componentes y de paquetes de UML. Vista de Procesos: En esta vista se muestran los procesos que hay en el sistema y la forma en la que se comunican estos procesos; es decir, se representa desde la perspectiva de un integrador de sistemas, el flujo de trabajo paso a paso de negocio y operacionales de los componentes que conforman el sistema. Para completar la documentacin de esta vista se puede incluir el diagrama de actividad de UML. Vista Fsica: En esta vista se muestra desde la perspectiva de un ingeniero de sistemas todos los componentes fsicos del sistema as como las conexiones fsicas entre esos componentes que conforman la solucin (incluyendo los servicios). Para completar la documentacin de esta vista se puede incluir el diagrama de despliegue de UML. +1 Vista de Escenarios: Esta vista va a ser representada por los casos de uso software y va a tener la funcin de unir y relacionar las otras 4 vistas, esto quiere decir que desde un caso de uso podemos ver como se van ligando las otras 4 vistas, con lo que tendremos una trazabilidad de componentes, clases, equipos, paquetes, etc., para realizar cada caso de uso. Para completar la documentacin de esta vista se pueden incluir el diagramas de casos de uso de UML.

SCORM (del ingls Sharable Content Object Reference Model) es un conjunto de estndares y especificaciones que permite crear objetos pedaggicos estructurados. Los sistemas de gestin de contenidos en web originales usaban formatos propietarios para los contenidos que distribuan. Como resultado, no era posible el intercambio de tales contenidos. Con SCORM se hace posible crear contenidos que puedan importarse dentro de sistemas de gestin de aprendizaje diferentes, siempre que estos soporten la norma SCORM.

CMMI: Integracin de modelos de madurez de capacidades o Capability maturity model

integration (CMMI) es un modelo para la mejora y evaluacin de procesos para el desarrollo, mantenimiento y operacin de sistemas de software. COBIT,Objetivos de Control para Informacin y Tecnologas Relacionadas (COBIT, en ingls: Control Objectives for Information and related Technology) es una gua de mejores prcticas presentado como framework, dirigida a la gestin de tecnologa de la informacin (TI). Mantenido por ISACA (en ingls: Information Systems Audit and Control Association) y el IT Governance Institute (ITGI, en ingls: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de referencia para la gestin de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditora, herramientas para su implementacin y principalmente, una gua de tcnicas de gestin.

Niveles de madurez

1 - Inicial. Las organizaciones en este nivel no disponen de un ambiente estable para el desarrollo y mantenimiento de software. Aunque se utilicen tcnicas correctas de ingeniera, los esfuerzos se ven minados por falta de planificacin. El xito de los proyectos se basa la mayora de las veces en el esfuerzo personal, aunque a menudo se producen fracasos y casi siempre retrasos y sobrecostes. El resultado de los proyectos es impredecible. 2 - Repetible. En este nivel las organizaciones disponen de unas prcticas institucionalizadas de gestin de proyectos, existen unas mtricas bsicas y un razonable seguimiento de la calidad. La relacin con subcontratistas y clientes est gestionada sistemticamente. 3 - Definido. Adems de una buena gestin de proyectos, a este nivel las organizaciones disponen de correctos procedimientos de coordinacin entre grupos, formacin del personal, tcnicas de ingeniera ms detalladas y un nivel ms avanzado de mtricas en los procesos. Se implementan tcnicas de revisin por pares (peer reviews). 4 - Gestionado. Se caracteriza porque las organizaciones disponen de un conjunto de mtricas significativas de calidad y productividad, que se usan de modo sistemtico para la toma de decisiones y la gestin de riesgos. El software resultante es de alta calidad.

5 - Optimizado. La organizacin completa est volcada en la mejora continua de los procesos. Se hace uso intensivo de las mtricas y se gestiona el proceso de innovacin.

Inyeccin SQL Inyeccin SQL es un mtodo de infiltracin de cdigo intruso que se vale de una vulnerabilidad informtica presente en una aplicacin en el nivel de validacin de las entradas para realizar consultas a una base de datos. Operatividad. Cuanto mejor funcione, ms eficientemente se puede probar. Controlabilidad. Cuanto mejor podamos controlar el software, ms se puede automatizar y optimizar. Capacidad de descomposicin. Controlando el mbito de las pruebas, podemos aislar ms rpidamente los problemas y llevar a cabo mejores pruebas de regresin. Observabilidad. Lo que ves es lo que pruebas. Simplicidad. Cuanto menos haya que probar, ms rpidamente podremos probarlo. Estabilidad. Cuanto menos cambios, menos interrupciones a las pruebas.

La prueba en el contexto de espiral

La prueba de unidad centra el proceso de verificacin en la menor unidad del diseo del software(Mdulo). Aqu se prueban los caminos de control importantes, con el fin de descubrir errores dentro del mbito de un mdulo.

La prueba de Integracin es una tcnica sistemtica para construir la estructura del programa mientras que al mismo tiempo, se llevan a cabo pruebas para detectar errores asociados con la interaccin. Tipos de integracin La primera es no incremental big bang. Se combinan todos los mdulos por anticipado, se prueba todo el producto. La segunda es una integracin incremental en donde se desarrollan mdulos pequeos y funcionales que hacen que los errores sean ms fcil de aislar y corregir.

El proceso de pruebas en el ciclo de vida

El estndar ISO/IEC 12207 [1] identifica tres grupos de procesos en el ciclo de vida software: - Procesos principales, grupo en el que incluye los procesos de Adquisicin, Suministro, Desarrollo, Operacin y Mantenimiento. - Procesos de la organizacin, en donde se encuentran los procesos de Gestin, Mejora, Infraestructura y Formacin. - Procesos de soporte o auxiliares, en donde estn los procesos de Documentacin, Gestin de la Configuracin, Auditora, Resolucin de Problemas, Revisin Conjunta, Aseguramiento de la Calidad, Verificacin, Validacin, No define, como vemos, un proceso de Pruebas como tal, sino que aconseja, durante la ejecucin de los procesos principales o de la organizacin, utilizar los procesos de soporte. Entre stos se encuentran los procesos de Validacin y de Verificacin: - El proceso de Validacin tiene como objetivo determinar si los requisitos y el sistema final cumplen los objetivos para los que se construy el producto, respondiendo as a la pregunta el producto es correcto? - El proceso de Verificacin intenta determinar si los productos software de una actividad se ajustan a los requisitos o a las condiciones impuestas en actividades anteriores. De este modo, la pregunta a la que responde este proceso es se est construyendo el producto correctamente?

Pruebas de caja negra

En este tipo de pruebas, el elemento que se va a probar se entiende como una caja negra de la que slo se conocen sus entradas y sus salidas. As, al elemento bajo prueba se lo somete a una serie de datos de entrada, se observan las salidas que produce y se determina si stas son conformes a la entradas introducidas.

Pruebas estructurales o de caja blanca

Las pruebas de caja blanca realizan, de alguna manera, un seguimiento del cdigo fuente segn se van ejecutando los casos de prueba, de manera que se determinan de manera concreta las instrucciones, bloques, etc. que han sido

ejecutados por los casos de prueba. As pues, mediante este tipo de pruebas se puede saber cunto cdigo se ha recorrido.

Pruebas unitarias

Las pruebas unitarias centran su aplicacin en lo que se denomina la unidad de prueba que, dependiendo del contexto, puede ser una clase, un mtodo o un subsistema. El estndar ANSI/IEEE 1008/1987, define la unidad de prueba de la siguiente forma

Pruebas de integracin
Las pruebas de integracin se emplean para comprobar que las unidades de prueba, que han superado sus pruebas de unidad, funcionan correctamente cuando se integran, de manera que lo que se tiende a ir probando es la arquitectura software. Durante la integracin, las tcnicas que ms se utilizan son las de caja negra, aunque se pueden llevar a cabo algunas pruebas de caja blanca para asegurar que se cubren los principales flujos de comunicacin entre las unidades

Pruebas de sistema
Las pruebas de sistema tienen por objetivo comprobar que el sistema, que ha superado las pruebas de integracin, se comporta correctamente con su entorno (otras mquinas, otro hardware, redes, fuentes reales de informacin, etc.).

La mutacin
En el contexto de las pruebas del software, un mutante es una copia del programa que se est probando (programa original) al que se le ha introducido un nico y pequeo cambio sintctico que no impide que el programa compile (por ejemplo, cambiar un signo + por un * en una expresin aritmtica). As, puede entenderse que el mutante es una versin defectuosa del programa original: es decir, el mutante es el programa original, pero en el que se ha introducido o en el que se ha sembrado un fallo.
Fraude: Del latn fraus, un fraude es una accin que resulta contraria a la verdad y a la rectitud. El fraude se comete en perjuicio contra otra persona o contra una organizacin (como el Estado o una empresa). Fraude informtico: Para Romeo Casabona el fraude informtico, es "la incorrecta modificacin del resultado de un procesamiento automatizado de datos, mediante la alteracin de los datos que se introducen o ya contenidos en el ordenador en cualquiera de las fases de su procesamiento o tratamiento informtico, con nimo de lucro y en perjuicio de un tercero"

Delito Informtico Cualquier actividad ilegal que encuadra en figuras tradicionales ya conocidas como robo, hurto, fraude, falsificacin, perjuicio, estafa y sabotaje, pero siempre que involucre la informtica de por medio para cometer la ilegalidad.. La Organizacin de las Naciones Unidas (ONU) define tres tipos de delitos informticos: 1) Fraudes cometidos mediante manipulacin de computadoras 3) Manipulacin de los datos de entrada 4) Daos o modificaciones de programas o datos computarizados Actores dentro de un delito informtico Existen dos tipos de actores o personas involucradas en una actividad informtica delictiva: * Sujeto activo: aquella persona que comete el delito informtico. * Sujeto pasivo: aquella persona que es vctima del delito informtico. ISACA es el acrnimo de Information Systems Audit and Control Association (Asociacin de Auditora y Control de Sistemas de Informacin), una asociacin internacional que apoya y patrocina el desarrollo de metodologas y certificaciones para la realizacin de actividades auditora y control en sistemas de informacin.

ITIL: La Biblioteca de Infraestructura de Tecnologas de Informacin, frecuentemente abreviada ITIL (del ingls Information Technology Infrastructure Library), es un conjunto de conceptos y prcticas para la gestin de servicios de tecnologas de la informacin, el desarrollo de tecnologas de la informacin y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como gua que abarque toda infraestructura, desarrollo y operaciones de TI.