Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
PRESENTADO POR:
ARANDA YOHARA
MIRANDA KATHERINE
PROFESOR:
RAL LEZCANO
FECHA:
20 DE MARZO DE 2017
1
CONTENIDO
2
INTRODUCCIN
La seguridad de las aplicaciones debe ser una prioridad para las organizaciones, para
proteger su negocio y su reputacin. Es crucial que cualquier persona involucrada en el
ciclo de vida de desarrollo de software (SDLC) est bien informada y tenga experiencia
en la comprensin de cmo construir un software seguro.
Por esta razn, es de vital importancia que los auditores de sistemas estn capacitados
en temas de seguridad en el desarrollo de software, para que puedan detectar errores
en aspectos de seguridad en el desarrollo de aplicaciones y as brindar
recomendaciones que ayuden a que el sistema sea seguro.
El ISC proporciona una gua oficial para los interesados en obtener la certificacin de
CSSLP, la cual consta de ocho dominios, de los cuales abordaremos en este trabajo
nicamente el dominio uno, sobre Conceptos de Software Seguro; pues, si bien es
cierto, sin una base slida los edificios pueden colapsar, lo mismo sucede cuando se
trata de la creacin de un software. Para que el software sea seguro y resistente contra
los piratas informticos, se debe tener en cuenta ciertos conceptos fundamentales de la
seguridad de la informacin. Algunos de estos aspectos a presentar en esta
investigacin son: Seguridad Integral, Conceptos de Diseo de Seguridad, Gestin de
Riesgo de Software, Polticas de Seguridad y Normas de Seguridad.
3
CERTIFIED SECURE SOFTWARE LIFECYCLE PROFESSIONAL (CSSLP)
Para que el software sea seguro y resistente contra los piratas informticos, se debe
tener en cuenta ciertos conceptos fundamentales de la seguridad de la informacin;
estos incluyen la confidencialidad, integridad, disponibilidad, autenticacin,
autorizacin, la rendicin de cuentas, la gestin de sesiones, excepciones, errores y
parmetros de configuracin, los cuales deben ser considerados en el diseo,
desarrollo y despliegue del software.
Hace algunos aos, la seguridad era acerca de mantener a los malos fuera de su red.
La seguridad de la red se bas en gran medida en las defensas del permetro tales
como cortafuegos, zonas desmilitarizadas (DMZ) y los hosts para proteger aplicaciones
y datos que estaban dentro de la red de la organizacin. Estas defensas perimetrales
son absolutamente necesarias y crticas, pero con la globalizacin y el paisaje
cambiante en la forma de hacer negocios hoy en da, en el que hay una necesidad de
permitir el acceso a nuestros sistemas y aplicaciones internas, los lmites que
demarcan nuestros sistemas internos y aplicaciones de los externos han
desapareciendo lentamente.
4
Por ejemplo, una vulnerabilidad de inyeccin de lenguaje de consulta estructurado
(SQL) en la aplicacin puede permitir que un atacante pueda comprometer el servidor
de base de datos (anfitrin), lo cual afecta a toda la red.
1.1.1.Desafos de implementacin
Desde el momento en que nace una solucin para resolver un problema de negocio
utilizando un software, hasta el momento en que esta solucin se ha diseado,
5
desarrollado y desplegado, hay una necesidad de tiempo (horario), recursos (alcance) y
costos (presupuesto).
Los desarrolladores tienden a pensar que la seguridad no aade ningn valor para el
negocio ya que no es muy fcil de mostrar un retorno de uno a uno en la inversin en
seguridad.
6
Seguridad vs. Usabilidad
La seguridad del software debe ser equilibrada con la facilidad de uso y rendimiento.
No hay absolutamente ninguna duda de que la incorporacin de la seguridad viene a
costa de rendimiento y facilidad de uso. Esto es cierto si el diseo de software no tiene
en cuenta el concepto conocido como la aceptabilidad psicolgica.
1.1.2.Calidad y Seguridad
7
cliente, es validada y verificada. Los controles de calidad son indicativos de que el
software es fiable (buenas condiciones de funcionamiento) y que es funcional (cumple
con los requisitos especificados por el propietario de la empresa).
Confidencialidad
Integridad
La integridad del software tiene que ver con dos aspectos. En primer lugar, debe
asegurarse de que los datos que se transmiten, procesan y almacenan son tan
precisos como el autor pretende y en segundo lugar, que el software funciona de
manera confiable, como se pretende.
Disponibilidad
Autenticacin
Autorizacin
9
crear, leer, actualizar, eliminar) lugar donde se realiz la accin y cundo (fecha y hora
de la operacin).
10
software, pues un mayor nmero de vulnerabilidades aumenta con la
complejidad del diseo de la arquitectura de software y el cdigo. Cuando
ocurren errores, son ms fciles de entender y arreglar.
11
fciles. Se debe identificar y fortalecer los vnculos dbiles hasta alcanzar
un nivel aceptable de riesgo.
12
1.4.1. Terminologa y definiciones
Activos: Los activos son aquellos artculos que son valiosos para la
organizacin, la prdida de lo que potencialmente puede causar trastornos en la
capacidad de la organizacin para llevar a cabo sus misiones.
13
determinar cuantitativamente la certeza o duda de que un suceso dado ocurra o
no.
Controles: Los controles de seguridad son mecanismos por los que las
amenazas a los sistemas de software y pueden ser mitigados. Los controles de
seguridad se pueden clasificar a grandes rasgos en las contramedidas y las
salvaguardas. Las contramedidas son los controles de seguridad que se aplican
despus de una amenaza se ha materializado, lo que implica la naturaleza
reactiva de este tipo de controles de seguridad. Por otro lado, las salvaguardias
son los controles de seguridad que son ms proactivo en la naturaleza. Los
controles de seguridad no eliminan la amenaza en s, sino que estn integradas
en el software o sistema para reducir la probabilidad de que una amenaza se
materializ.
Evitar el riesgo: El riesgo puede evitarse, pero nunca debe ser ignorado.
14
seguridad es mayor que el impacto potencial del riesgo en s mismo, uno
puede aceptar el riesgo.
Contrariamente a lo que uno puede pensar que es, una poltica de seguridad es ms
que un simple documento escrito. Es el instrumento por el cual los activos digitales que
requieren proteccin pueden ser identificados. Especifica a un alto nivel lo que debe ser
protegido y las posibles repercusiones del incumplimiento.
Adems de definir los activos que la organizacin considera valiosos, las polticas de
seguridad identifican las metas y objetivos de la organizacin y comunican las metas y
los objetivos de la organizacin para la organizacin.
15
coherente, pueden utilizarse para determinar la estrategia y las decisiones ejecutivas
efectivas.
En algunos casos, stos incluso pueden definir los derechos que el personal tiene
dentro de estas unidades funcionales. Por ejemplo, no todos los miembros del equipo
de recursos humanos pueden ver los datos de nmina de los ejecutivos.
16
Una poltica de seguridad es el instrumento que puede proporcionar esta obligatoriedad
necesaria. Sin polticas de seguridad, se puede razonablemente argumentar que no
hay dientes en las iniciativas de software seguro que un apasionado CSSLP o
profesional de la seguridad gustara tener en su lugar. Aquellos que son o han sido
responsables de incorporar controles de seguridad y actividades dentro del SDLC
saben que un programa de seguridad a menudo enfrenta inicialmente resistencia.
17
facto cuando se desarroll la poltica. Con la estandarizacin del Advanced Encryption
Standard (AES), DES se considera ahora como una tecnologa obsoleta.
Las polticas que han ordenado explcitamente el DES ya no son relevantes y por lo
tanto deben ser revisadas y revisadas. Los requisitos contextualmente incorrectos,
obsoletos e inseguros de las polticas se marcan a menudo como problemas no
conformes durante una auditora. Este problema se puede evitar mediante revisiones
peridicas y revisiones de las polticas de seguridad en vigor.
Las normas externas pueden clasificarse adems en funcin del emisor y del
reconocimiento. Dependiendo de quin ha emitido el estndar, los estndares de
18
seguridad externos pueden clasificarse en estndares de la industria o estndares
gubernamentales.
(FIPS) y los del American National Standards Institute (ANSI), en los Estados Unidos
de Amrica. Tambin es digno de mencin reconocer que con la globalizacin que
impacta el mnimo de operaciones en el panorama global, la mayora de las
organizaciones se inclinan ms hacia la adopcin de estndares internacionales sobre
los nacionales.
19
Normas internas de codificacin a los profesionales de la seguridad aplicables al
software.
1. Instituto Nacional de Estndares y Tecnologa (NIST) Publicaciones
Especiales
2. Normas Federales de Procesamiento de Informacin (FIPS)
3. Organizacin Internacional de Normalizacin (ISO)
4. Industria de tarjetas de pago (PCI)
5. Organizacin para el Avance de la Informacin Estructurada Normas
(OASIS)
La norma de codificacin no slo trae consigo muchas ventajas de seguridad, sino que
tambin proporciona beneficios no relacionados con la seguridad. La consistencia en el
20
estilo, la mejora de la legibilidad del cdigo y la facilidad de mantenimiento son algunos
de los beneficios no relacionados con la seguridad que uno obtiene cuando siguen un
estndar de codificacin.
Los programas del NIST ayudan a mejorar la calidad y las capacidades del software
utilizado por las empresas, las instituciones de investigacin y los
consumidores. Ayudan a asegurar los datos electrnicos y mantener la disponibilidad
de servicios electrnicos crticos mediante la identificacin de vulnerabilidades y
medidas de seguridad rentables.
Una de las competencias bsicas del NIST es el desarrollo y uso de estndares. Tienen
la responsabilidad legal de establecer normas y directrices de seguridad para los
sistemas federales sensibles, pero estas normas son adoptadas y utilizadas
selectivamente por el sector privado sobre una base voluntaria tambin.
21
informacin. Explica los conceptos relacionados con la seguridad informtica, las
consideraciones de costos y las interrelaciones de los controles de seguridad. Los
controles de seguridad se clasifican en controles de gestin, controles operativos y
controles de tecnologa.
22
mientras que otros estn vinculados al proceso de diseo de la seguridad en los
sistemas de TI.
1 Establecer una poltica de seguridad de sonido como la "fundacin" para el
diseo.
2 Trate la seguridad como una parte integral del diseo general del sistema.
3 Delimite claramente los lmites de seguridad fsica y lgica Regidos por
polticas de seguridad asociadas.
4 Reducir el riesgo a un nivel aceptable.
5 Suponga que los sistemas externos son inseguros.
6 Implementar medidas personalizadas de seguridad del sistema para
cumplir con los objetivos de seguridad.
7 Utilizar mecanismos de lmites para separar los sistemas
de Infraestructuras de red.
8 Cuando sea posible, base la seguridad en estndares abiertos para la
portabilidad y la interoperabilidad.
23
2 Destacar cualquier problema de ingeniera o diseo que pueda
requerir Rediseo en una etapa posterior del SDLC, si la seguridad no se ha
considerado temprano, pero ahora se requiere.
3 Identificacin de servicios de seguridad compartidos que pueden
aprovecharse Reduce el costo y el tiempo de desarrollo.
4 La gestin integral del riesgo y la facilitacin de la Tomar decisiones
informadas sobre el riesgo de ir / no ir y el manejo del riesgo (aceptar /
transferir / mitigar o evitar) decisiones.
24
FIPS 186: Digital Signature Standard (DSS)
FIPS 186: Digital Signature Standard (DSS) especifica un conjunto de algoritmos que
se pueden utilizar para generar una firma digital.
25
A diferencia de muchas otras normas que son amplias en su orientacin, la mayora de
las normas ISO son muy especficas. Con el fin de garantizar que las normas se
ajusten a los cambios en la tecnologa, la revisin peridica de cada norma despus de
su publicacin (al menos cada cinco aos) es parte del proceso de elaboracin de
normas ISO.
Las normas ISO relacionadas con la seguridad de la informacin y la ingeniera de
software:
La norma ISO / IEC 15408 es ms comnmente conocida como los criterios comunes y
es una serie de conjunto internacionalmente reconocido de directrices que definen un
marco comn para la evaluacin de las caractersticas de seguridad y capacidades de
los productos de seguridad de tecnologa de la informacin.
26
ISO / IEC 25000: 2005 " Calidad de Producto Ingeniera de Software
La norma ISO / IEC 25000: 2005 proporciona recomendaciones y una gua normativa
para el uso de la nueva serie de estndares internacionales de calidad indicada
software Requisitos de calidad del producto y Evaluacin (cuadrados).
ISO / IEC 27000: 2009 " Gestin de Seguridad de la Informacin del Sistema
(ISMS) Descripcin y Vocabulario
Esta norma tiene como objetivo proporcionar un glosario comn de trminos y
definiciones. Tambin proporciona una visin general e introduccin a la familia de
normas de SGSI que cubre
1 definicin de los requisitos para un SGSI
2 una gua detallada para interpretar el Plan-Do-Check-Act (PDCA) Procesos
3 directrices especficas del sector y las evaluaciones de conformidad ISMS.
ISO / IEC 27001: 2005 especifica los requisitos para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar un SGSI documentado. Se puede utilizar para
ayudar en:
1 la formulacin de los requisitos de seguridad,
2 garantizar el cumplimiento legal, regulatorios y de cumplimiento
externas requisitos y con las polticas internas, directivas y normas,
3 gestin de riesgos de seguridad de manera rentable,
4 generar y seleccionar los requisitos de los controles de seguridad que va
a abordar de manera adecuada los riesgos de seguridad.
5 identificar procesos ISMS existentes y definir otros nuevos
27
Podra decirse que este es el estndar de seguridad ms conocida y tiene por objeto
proporcionar una base comn y pautas prcticas para el desarrollo de estndares de
seguridad de la organizacin y de seguridad eficaz Prcticas de manejo.
Esta norma establece las directrices y principios generales para iniciar, implementar,
mantener y mejorar la gestin de seguridad de la informacin en una organizacin.
Este objetivo principal de esta norma es apoyar acreditacin y certificacin de que los
cuerpos de auditora y certificacin de sistemas de gestin de seguridad de
informacin.
Normas pci
28
transmite y procesa la informacin de las tarjetas de pago ya no han sido inundados
con los requisitos de PCI, ms en particular la norma PCI DSS. Originalmente
desarrollado por American Express, Discover Financial Services, JCB International,
MasterCard
1 De que todos los componentes y el software del sistema tienen los ltimos
parches de seguridad instalados vendedor
suministrado. Instalar crtico seguridad parches dentro uno mes de la
liberacin.
4 Siga los procedimientos de control de cambios para todos los cambios en los
componentes del sistema.
29
5 Desarrollar todas las aplicaciones web basadas en las directrices de
codificacin segura (como OWASP) para cubrir las vulnerabilidades de
codificacin comunes en el desarrollo de software.
El PA-DSS fue creado por la Tarjeta de Pago Security Standards Council Industria para
ayudar a los Asesores de Seguridad Calificados (QSA) cuando se realizan exmenes
de la aplicacin de pago. QSA puede utilizar el PA-DSS para validar que su solicitud de
pago que estn evaluando es compatible con la norma PCI DSS, ya que sirve como
una plantilla para crear el informe de validacin. Lo que sola ser conocido
anteriormente como las mejores prcticas de aplicacin de pago (PABP).
Algunas de las formas en que una aplicacin de pago puede impedir el cumplimiento
del cliente es si la aplicacin de pago requiere que el cliente:
1 almacenar los datos de banda magntica y / o datos equivalentes en el chip
en la red y despus de la autorizacin.
2 desactivar las funciones de proteccin, tales como el software antivirus o
cortafuegos con el fin de conseguir la aplicacin de pago puede trabajar.
Organizacin para el Avance de Estndares de Informacin Estructurada (OASIS)
Mejores prcticas
Adems de las normas, existen varias de las mejores prcticas para la seguridad de la
informacin que son importantes para un profesional de seguridad a tener en cuenta.
31
Este es un manual completo para el diseo, desarrollo y despliegue de aplicaciones y
servicios web seguros. El pblico objetivo de esta gua son los arquitectos,
desarrolladores, consultores y auditores.
Esta gua cubre los diversos controles de seguridad que los desarrolladores de
software deben construir en el software que disean y se desarrollan.
32
Acuerdos de nivel de servicio (SLA) se ve reforzada cuando la organizacin adopte un
marco que incluye las mejores prcticas y estndares en la gestin del servicio. La ITIL
es un marco de mejores prcticas de cohesin que se desarroll originalmente en
alineacin con la norma continuacin del Reino Unido.
El modelo de cascada es til para proyectos de software a gran escala, ya que aporta
estructura por fases en el proceso de desarrollo de software. El Instituto Nacional de
Estndares y Tecnologa (NIST) Publicacin Especial 800-64 1d REV, que cubre un
Consideraciones Seguridad en el Desarrollo de Sistemas de Informacin ciclo de vida ,
rompe el modelo de cascada SDLC lineal en cinco fases genricas: iniciacin,
adquisicin / desarrollo , implementacin / evaluacin, las operaciones / mantenimiento
y la puesta del sol.
CONCLUSIN
33
Al concluir con este trabajo esperamos haber dejado de forma clara y especifica la
importancia de contar con software seguros.
Un programa de seguridad no solo ayuda a prevenir los accidentes que puedan ocurrir
en la organizacin si no que protege a la organizacin de una serie de consecuencias a
mediano y largo plazo derivadas de los accidentes.
Una empresa debe contar con un programa de seguridad no por los daos futuros que
le podran ocasionar o por las prdidas econmicas sino ms bien porque toda
empresa cuanta con una responsabilidad social es decir se sienten responsables por la
seguridad de sus trabajadores.
34
BIBLIOGRAFA
https://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n seguridad de
informacin
https://translate.google.com/translate?hl=es-
419&sl=en&u=https://www.isc2.org/csslp&prev=search
Libro: Gua Oficial para CSSLP (CBK). (ISC). Mano Paul. Segunda Edicin. Ao
2014.
35