Ministerio de Modernización

Presidencia de la Nación

Secretaría de Infraestructura Tecnológica y País Digital

Dirección de Infraestructuras Críticas de Información y Ciberseguridad

Buenas Prácticas de Seguridad para el Ciclo de Desarrollo

Julio de 2018
 Proyecto Investigación
Seguridad para el Desarrollo
¿Seguridad?
LA APLICACIÓN VA A SER ATACADA.
ALGÚN ATAQUE FUNCIONARÁ.

!
CADA DECISIÓN
CAMBIARÁ LA SEGURIDAD
¿Qué está en juego? Involucremos a las Partes.
Seguridad y el Ciclo de Desarrollo

Requerimientos Seguridad durante

Todo el Ciclo

Mantenimiento Diseño Más Fácil Hacer Cambios

Ciclos más Cortos

Despliegue Código Menos Vulnerabilidades

Llegan a Producción

Pruebas
 Requerimientos

Mantenimiento Diseño

Despliegue Código

Pruebas
Seguridad Durante el Análisis de Requerimientos

Información de los Usuarios 1. Requerimientos de Privacidad

Riesgos Innecesarios 2. Requerimientos arbitrarios

¿Qué estamos defendiendo? 3. Clasificación de Activos

¿Qué nos pueden hacer? 4. Casos de Abuso

¿Cómo nos defendemos? 5. Requerimientos de Seguridad

¿Qué llegamos a hacer? 6. Priorización de requerimientos

Documentación
 Requerimientos

Mantenimiento Diseño

Despliegue Código

Pruebas
Principios para un Diseño Seguro

Superficie de Ataque Seguridad por Defecto Mínimo Privilegio

UX
Diseñar para Mantener Mantener la Usabilidad Separar Responsabilidades

?
El Eslabón más Débil Diseño sin Secretos Defensa en Profundidad
Modelado de Amenazas

Ayuda a prevenir vulnerabilidades

Y elegir controles de seguridad
Antes de empezar a Codear.
 Requerimientos

Mantenimiento Diseño

Despliegue Código

Pruebas
Durante la Implementación

Seguridad de Herramientas

Mantenibilidad y Seguridad

Control de Versiones

Seguimiento de Bugs

Prudencia al Confiar
Principios para la Seguridad del Código

Controles en el Server Criterio de Lista Blanca

Validar todo Input Unificar Código Controles

Escapar todo Output Cifrar Info de Usuarios

Principios para la Seguridad del Código

?<>
Autorización para Todo Verificar Componentes

Control de Sesiones Carga de Archivos

<> <>
Sacar Backdoors Integridad de Código
 Requerimientos

Mantenimiento Diseño

Despliegue Código

Pruebas
Etapa de Pruebas

Comienzo Temprano de las Pruebas

<>

Revisión de Código entre Pares

Análisis Estático: IDE / Intérprete / Framework

Pruebas de Penetración

Auditorías de Código
 Requerimientos

Mantenimiento Diseño

Despliegue Código

Pruebas
Puesta en Producción

DEV TEST PROD

Principios para Hardenizar Equipos
Quitar Componentes Innecesarios.
Segregación de Ambientes Configurar Bien los Necesarios.
Agregar Módulos de Seguridad.
Instalar Actualizaciones.
Documentar la Configuración.

Activar Cifrado Virtualización Cambiar Contraseñas

Y Contenedores Por Default
 Requerimientos

Mantenimiento Diseño

Despliegue Código

Pruebas
Mantenimiento de la Aplicación

Herramientas de Reporte de Ventana de

Seguridad Vulnerabilidades Vulnerabilidad

Actualizaciones Protocolo de Controles de

Backups Integridad
Fin de Vida Útil

Migración Descarte
¿Preguntas?
Comentarios
 Ministerio de Modernización
Presidencia de la Nación

Secretaría de Infraestructura Tecnológica y País Digital

Dirección de Infraestructuras Críticas de Información y Ciberseguridad

Muchas gracias