Documentos de Académico
Documentos de Profesional
Documentos de Cultura
USD 24x10
Costo de prevencin:
[cci]
Ciclo de
Charlas
Informticas
Primera parte:
Es importante la seguridad?
La incidencia de ataques
desde dentro de la
organizacin bordea el
20%
Y pueden no
necesariamente ser
ataques
Los usuarios son el peor
enemigo de una aplicacin
Curiosos
Torpes
Crdulos
Malvolos
Petulantes
Factores tcnicos
Factores psicolgicos
Interconectividad
Extensibilidad
Complejidad
(La Trinidad de los problemas)
ROI (margen)
Ejercicio: Cotizaras
voluntariamente en una Isapre?
Es bacn la seguridad?
Segunda parte:
Educacin
Sabemos qu
vulnerabilidades hay y
cmo mitigarlas?
Tutoriales en lnea
(OWASP Top 10,
CWE/Sans Top 25...)
Libros
Educacin
Aplicaciones dbiles a
propsito
NOWASP (Mutillidae)
Google Gruyre
OWASP WebGoat
Anlisis de seguridad
Minimizar la superficie
de ataque:
1) Esa caracterstica es
realmente importante?
2) Quien necesita esa
funcionalidad y desde
dnde?
3) Reducir privilegios
Acceso
remoto
Acceso
restringido
Acceso
local
yo
a
M
Acceso
slo para
admin
e
d
e
ici
f
r
pe
u
rs
ue
q
ata
Acceso para
usuarios
Acceso
annimo
Anlisis de seguridad
2)
Modelar el sistema
3)
4)
Calcular riesgos
5)
Mitigar
Anlisis Interno
Analizadores estticos
Anlisis externo
(pentesting)
Fuzzers
Limitaciones
Utilizar sandboxing
Analizadores estticos:
FXCop (.NET)
Brakeman (Rails)
Fuzzers:
Websecurify
W3AF
Skipfish
Sandboxes
Chroot
Diseo simple
Prepared Statements y permisos para bases de
datos
Validar entradas (contra XSS, inyecciones varias,
usar lista blanca)
Poner atencin a las configuraciones por defecto.
Suelen ser inseguras.
Bibliotecas externas
Frameworks
Etc.
Buscar alternativas
Demo
(Un intento por hacer bacn la seguridad)
Fuente: https://github.com/injcristianrojas/swsec-intro
Links interesantes
Links revelantes
OWASP Top 10
https://www.owasp.org/index.php/Top_10
CWE/SANS Top 25 Most Dangerous Software Errors
http://www.sans.org/top25-software-errors/
OWASP: "Threat Risk Modeling"
https://www.owasp.org/index.php/Threat_Risk_Modeling
https://viaforensics.com/resources/reports/best-practices-ios-android-secure-mobile-development/
http://www.microsoft.com/security/sdl/discover/design.aspx
Blbliografa