Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ACTIVIDADA EN CONTEXTO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01
TUTOR
IGNACIO BLANCO
PRESENTADO POR:
ALARCON TORRES JESUS.
Cod. 0511041148
Noviembre de 2022
INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01
INTRODUCCION
Durante el desarrollo del presente trabajo, se detalla la recomendación que se pretende realizar como
consultor para la implementación del modelo de seguridad en el ciclo de desarrollo para la empresa Z –
Software. Este se realiza en base a la investigación de los 4 modelos de seguridad en los ciclos de desarrollo
más comunes.
La necesidad del presente trabajo surge, dado que no se da la importancia necesaria a la seguridad dentro
de cada fase del desarrollo, sino que, por lo general, se cree suficiente con la realización de una prueba de
seguridad al finalizar el proceso de desarrollo durante la fase de implementación. La importancia de incluir
la seguridad dentro de todo el ciclo de desarrollo de software debe estar a la par y encaminada a cumplir
con las mismas características de calidad del software, a fin de:
1. Revisar, analizar y determinar el mejor modelo a implementar para le empresa involucrada, en base
a los modelos
a. Modelo Open Web Application Security Project (OWASP)
b. Open Software Assurance Maturiry Model (OPENSAMM)
c. Modelo Secutiry Considerations in the System Development Life Cycle (NIST 800 – 64)
d. Microsoft Security Development Life Cycle (SDLC)
En base a los modelos anteriores se debe:
1. Evaluar los impactos tanto económicos como técnicos dentro de os proyectos de desarrollo para los
cuales la empresa es contratada
2. Implementar instrumentos que permitan a la empresa el seguimiento periódico de la calidad
3. Identificar eventos críticos del proyecto para decidir ajustes necesarios y ajustar la continuidad del
proyecto
4. Generar procesos de aprendizaje y retroalimentación útiles a replicar en los futuros desarrollos de
Z – Software
INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01
OBJETIVOS
Objetivo General
Validar, analizar y aprender de cada uno de los diferentes Modelos de Seguridad en el Ciclo de Desarrollo,
a fin de poder emitir una recomendación acertada a la empresa Z – Software, que le permita implementar
uno de los modelos con éxito y asegurando sus resultados
Objetivos Específicos
ANTECEDENTES
Z-Software es una compañía dedicada al desarrollo y fabricación de software. Lleva únicamente 2 años en
el mercado; sin embargo, ha desarrollado e implementado varios proyectos para varias entidades del estado
colombiano. La compañía ha recibido numerosas felicitaciones sobre la calidad del software, pero también
ha recibido quejas y reclamos por la baja seguridad de las aplicaciones ya que los clientes han tenido varios
incidentes de seguridad, a lo cual Z-Software ha respondido arreglando o parchando las vulnerabilidades
explotadas.
El gerente de Z-Software, consciente de que esta situación le puede significar la pérdida de clientes, ha
decido contratarlo a usted como especialista en seguridad de la información para que lo asesore. El objetivo
del gerente es implementar un proceso estructurado de seguridad de la información, pero no quiere que se
reinventen la rueda, por lo que le ha solicitado a usted un resumen de los 4 modelos de seguridad en el ciclo
de desarrollo más utilizados, describiendo de qué se componen y explicándole en un lenguaje común, el
proceso que se hace en cada una de las fases (el gerente de Z-Software es abogado de profesión). Finalmente
espera de usted una recomendación sobre cuál modelo debería implementar en Z-Software, teniendo en
cuenta que la empresa está dispuesta a invertir y asignar los recursos que sean necesarios con tal de no
volver a tener quejas de sus clientes por temas de seguridad.
INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01
MODELOS EXISTENTES
Esta metodología es usada para evaluar las practicas de desarrollo seguro, utilizado para implementar un
programa de seguridad de aplicaciones de manera iterativa; demostrando mejoras concretas en un programa
de aseguramiento de seguridad en el desarrollo de aplicaciones.
3. Definición de requisitos de seguridad: Se definen los requisitos que debe cumplir la aplicación para poder
operar, se definen los conceptos básicos de seguridad.
En resumen, este modelo nos ayuda aplicar buenas prácticas de desarrollo, cuyo propósito es el análisis de
seguridad de software y la fabricación de recursos; que sirven para la identificación de fallos,
vulnerabilidades, aprendizaje y desarrollo seguro en la codificación de aplicaciones
Es una metodología que sirve para evaluar las practicas actuales de desarrollo seguro en una organización,
cuyas practicas pueden ser utilizadas para implementar un programa de seguridad en las aplicaciones de
manera iterativa, donde se manifiestan mejoras concretas en un programa de seguramiento y que además
define y mide las actividades relacionadas a la seguridad de la organización.
En un marco abierto Open Source, se busca ayudar a las organizaciones a diseñar e implementar una
estrategia para la creación de software seguro.
En resumen, el modelo que presenta OPENSAMM posee una correcta estructura, y nos planeta cuatro
funciones generales que involucran y Core del modelo, lo cual permite una fácil implementación y
entendimiento.
Modelo NIST 800-64 (Security Considerations in the System Development Life Cycle)
El modelo SDLC, es una guía que se utiliza para implementar desde el principio del proyecto, con el fin de
evitar vulnerabilidades comunes, que conllevan a una aplicación vulnerable y con deficiencias de seguridad;
debido que esto puede presentar conflictos en los objeticos de negocio concordados en cada fase del
desarrollo SDLC.
Esta guía presenta un modelo de referencia (framework) para incorporar la seguridad en todas las fases del
proceso SDLC, desde el inicio hasta la disposición; ayuda a identificar controles de seguridad efectivos en
costo, que pueden ser seleccionados y adquiridos; de igual manera, explica como incluir requerimientos de
seguridad de la información en las fases apropiadas del SDLC.El modelo está compuesto por las siguientes
fases:
1. Iniciación:
2. Desarrollo / Adquisición
3.Implementación /Adquisición
4.Operaciones y mantenimiento
5. Disposición
INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01
El presente modelo, se asemeja al modelo en cascada de desarrollo de software, lo cual permite en continuo
seguimiento a las vulnerabilidades y conflictos de seguridad en cada una de las etapas dl desarrollo; lo cual,
si bien implica un mayor costo en operación, minimiza los costos a futuro por un fallo general de seguridad
e interrupción del servicio.
Este modelo tiene como propósito construir software más seguro y estable; sin embargo, este modelo
presenta 7 fases para su implementación. Las cuales son:
INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01
1. Entrenamiento
2. Requerimientos
3.Diseño
4.Implementación
5. Verificación
6. Liberación
7. Respuesta
Entre cada una de las fases anteriores, Microsoft define cada una de las buenas practicas en seguridad para
el desarrollo de software
Teniendo en cuenta que la empresa Z-Software desarrolla e implementa proyectos de distintos tipos, entre
los cuales se destacan proyectos para entidades del estado se considera que el modelo a implementarse más
adecuado es OPENSAMM.
Si bien la publicación especial 800-64 del Instituto Nacional de Estándares y Tecnología tiene como objetivo
ayudar a las empresas del gobierno a integrar las actividades esenciales de seguridad en la metodología
SDLC, el modelo OPENSAMM ayuda a formular e implementar una estrategia para la seguridad del
software adaptables a cada proyecto.
Este modelo permite describir las Funciones y responsabilidades claves de seguridad, que se necesitan en
el desarrollo de la mayoría de los sistemas de información, identificando consideraciones de seguridad para
cada fase. Adicionalmente, la base del modelo en funciones centrales del desarrollo de software con
prácticas de seguridad vinculadas a cada uno de los componentes básicos del modelo, son los 3 niveles de
madurez definidos por cada una de las 12 prácticas de seguridad; lo cual permite definir una amplia gama
de actividades, que podría ayudar a reducir los riesgos de seguridad y aumentar la garantía del software.