INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO

SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01

INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO

ACTIVIDADA EN CONTEXTO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01

TUTOR
IGNACIO BLANCO

PRESENTADO POR:
ALARCON TORRES JESUS.
Cod. 0511041148

Noviembre de 2022
 INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01

INTRODUCCION

Durante el desarrollo del presente trabajo, se detalla la recomendación que se pretende realizar como
consultor para la implementación del modelo de seguridad en el ciclo de desarrollo para la empresa Z –
Software. Este se realiza en base a la investigación de los 4 modelos de seguridad en los ciclos de desarrollo
más comunes.

La necesidad del presente trabajo surge, dado que no se da la importancia necesaria a la seguridad dentro
de cada fase del desarrollo, sino que, por lo general, se cree suficiente con la realización de una prueba de
seguridad al finalizar el proceso de desarrollo durante la fase de implementación. La importancia de incluir
la seguridad dentro de todo el ciclo de desarrollo de software debe estar a la par y encaminada a cumplir
con las mismas características de calidad del software, a fin de:

• Ayudar a detectar y resolver vulnerabilidades y riesgos en etapas tempranas del proceso de

desarrollo
• Permitir integrara la seguridad en todas las fases del desarrollo
• Ayudar a mantener informadas a todas las partes interesadas de todas las cualidades y necesidades
en materia de seguridad del software
Para llevar a cabo con éxito el desarrollo el informe de recomendación final expuesto, es necesario llevar a
cabo las siguientes actividades:

1. Revisar, analizar y determinar el mejor modelo a implementar para le empresa involucrada, en base
a los modelos
a. Modelo Open Web Application Security Project (OWASP)
b. Open Software Assurance Maturiry Model (OPENSAMM)
c. Modelo Secutiry Considerations in the System Development Life Cycle (NIST 800 – 64)
d. Microsoft Security Development Life Cycle (SDLC)
En base a los modelos anteriores se debe:

1. Evaluar los impactos tanto económicos como técnicos dentro de os proyectos de desarrollo para los
cuales la empresa es contratada
2. Implementar instrumentos que permitan a la empresa el seguimiento periódico de la calidad
3. Identificar eventos críticos del proyecto para decidir ajustes necesarios y ajustar la continuidad del
proyecto
4. Generar procesos de aprendizaje y retroalimentación útiles a replicar en los futuros desarrollos de
Z – Software
 INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01

OBJETIVOS

Durante el desarrollo del presente documento, se plantean los siguientes objetivos:

Objetivo General

Validar, analizar y aprender de cada uno de los diferentes Modelos de Seguridad en el Ciclo de Desarrollo,
a fin de poder emitir una recomendación acertada a la empresa Z – Software, que le permita implementar
uno de los modelos con éxito y asegurando sus resultados

Objetivos Específicos

De los cuales se destacan:

• Recomendar un Modelo de Seguridad que permita a la empresa Z – Software garantizar la entrega

de proyectos de desarrollo de alta calidad, donde se evidencien fuertes controles de gestión y
maximizando su productividad
• Determinar el modelo que permita a la empresa Z – Software generara más y mejores proyectos en
un menor tiempo, con un menor uso de recursos, y con altos estándares de seguridad y calidad
 INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01

ANTECEDENTES

Z-Software es una compañía dedicada al desarrollo y fabricación de software. Lleva únicamente 2 años en
el mercado; sin embargo, ha desarrollado e implementado varios proyectos para varias entidades del estado
colombiano. La compañía ha recibido numerosas felicitaciones sobre la calidad del software, pero también
ha recibido quejas y reclamos por la baja seguridad de las aplicaciones ya que los clientes han tenido varios
incidentes de seguridad, a lo cual Z-Software ha respondido arreglando o parchando las vulnerabilidades
explotadas.

El gerente de Z-Software, consciente de que esta situación le puede significar la pérdida de clientes, ha
decido contratarlo a usted como especialista en seguridad de la información para que lo asesore. El objetivo
del gerente es implementar un proceso estructurado de seguridad de la información, pero no quiere que se
reinventen la rueda, por lo que le ha solicitado a usted un resumen de los 4 modelos de seguridad en el ciclo
de desarrollo más utilizados, describiendo de qué se componen y explicándole en un lenguaje común, el
proceso que se hace en cada una de las fases (el gerente de Z-Software es abogado de profesión). Finalmente
espera de usted una recomendación sobre cuál modelo debería implementar en Z-Software, teniendo en
cuenta que la empresa está dispuesta a invertir y asignar los recursos que sean necesarios con tal de no
volver a tener quejas de sus clientes por temas de seguridad.
 INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01

MODELOS EXISTENTES

MODELO 1 – OWASP (Open Web Aplicattion Security Project)

Esta metodología es usada para evaluar las practicas de desarrollo seguro, utilizado para implementar un
programa de seguridad de aplicaciones de manera iterativa; demostrando mejoras concretas en un programa
de aseguramiento de seguridad en el desarrollo de aplicaciones.

Basado en implementación de 7 buenas prácticas

1. Implementación de programas de sensibilización: Toda empresa cuenta con un área de entrenamiento y

capacitación, lo que nos propone el modelo en esta primera tarea, es generar un plan de entrenamiento que
además de capacitar, sensibilice al programador en el momento de codificar, de tal manera que tenga en
cuenta las técnicas apropiadas para la seguridad de la información.

2. Evaluación de la aplicación: en este punto se evalúan las vulnerabilidades de la aplicación, es decir se

buscan fallos en la codificación de la aplicación.

3. Definición de requisitos de seguridad: Se definen los requisitos que debe cumplir la aplicación para poder
operar, se definen los conceptos básicos de seguridad.

4. Implementación de prácticas de desarrollo seguro: Corresponde al análisis de la codificación, en busca

de fallos y vulnerabilidades de aplicación en cuanto a seguridad.

5. Procesos de remediación de vulnerabilidades: Se busca la solución de todas las vulnerabilidades que se

han detectado.

6. Procesos de remediación de vulnerabilidades: Se definen los índices de medición de desarrollo para

controlar, medir y monitorear los fallos presentados.

7. Publicación de políticas de seguridad operativa: Se realiza la documentación, aprobación, elaboración y

formalización de toda política de seguridad operativa que se vaya a implementar en temas de codificación
y desarrollo seguro.

Algunas ventajas y desventajas de modelo OWASP son:

 INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01

En resumen, este modelo nos ayuda aplicar buenas prácticas de desarrollo, cuyo propósito es el análisis de
seguridad de software y la fabricación de recursos; que sirven para la identificación de fallos,
vulnerabilidades, aprendizaje y desarrollo seguro en la codificación de aplicaciones

Modelo OPENSAMM (Open Software Assurance Maturiry Model)

Es una metodología que sirve para evaluar las practicas actuales de desarrollo seguro en una organización,
cuyas practicas pueden ser utilizadas para implementar un programa de seguridad en las aplicaciones de
manera iterativa, donde se manifiestan mejoras concretas en un programa de seguramiento y que además
define y mide las actividades relacionadas a la seguridad de la organización.

En un marco abierto Open Source, se busca ayudar a las organizaciones a diseñar e implementar una
estrategia para la creación de software seguro.

Para ello, el modelo facilita los siguientes recursos:

1. Verificación y evolución de buenas prácticas de seguridad existentes

2. Demostración de mejoras continuas y concretas.

3. Definición de métricas y actividades que se puedan medir relacionadas con la seguridad.

4. Construcción de un programa de aseguramiento de la seguridad de software

 INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01

Algunas ventajas y desventajas de modelo OPENSAMM son:

En resumen, el modelo que presenta OPENSAMM posee una correcta estructura, y nos planeta cuatro
funciones generales que involucran y Core del modelo, lo cual permite una fácil implementación y
entendimiento.

Modelo NIST 800-64 (Security Considerations in the System Development Life Cycle)

El modelo SDLC, es una guía que se utiliza para implementar desde el principio del proyecto, con el fin de
evitar vulnerabilidades comunes, que conllevan a una aplicación vulnerable y con deficiencias de seguridad;
debido que esto puede presentar conflictos en los objeticos de negocio concordados en cada fase del
desarrollo SDLC.

Esta guía presenta un modelo de referencia (framework) para incorporar la seguridad en todas las fases del
proceso SDLC, desde el inicio hasta la disposición; ayuda a identificar controles de seguridad efectivos en
costo, que pueden ser seleccionados y adquiridos; de igual manera, explica como incluir requerimientos de
seguridad de la información en las fases apropiadas del SDLC.El modelo está compuesto por las siguientes
fases:

1. Iniciación:

2. Desarrollo / Adquisición

3.Implementación /Adquisición

4.Operaciones y mantenimiento

5. Disposición
 INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01

Ciclo de Vida de Desarrollo de Software (SDLC)

El presente modelo, se asemeja al modelo en cascada de desarrollo de software, lo cual permite en continuo
seguimiento a las vulnerabilidades y conflictos de seguridad en cada una de las etapas dl desarrollo; lo cual,
si bien implica un mayor costo en operación, minimiza los costos a futuro por un fallo general de seguridad
e interrupción del servicio.

Modelo Microsoft Security Development Life Cycle

Este modelo tiene como propósito construir software más seguro y estable; sin embargo, este modelo
presenta 7 fases para su implementación. Las cuales son:
 INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01

1. Entrenamiento

2. Requerimientos

3.Diseño

4.Implementación

5. Verificación

6. Liberación

7. Respuesta

Entre cada una de las fases anteriores, Microsoft define cada una de las buenas practicas en seguridad para
el desarrollo de software

Algunas ventajas y desventajas de modelo SSDLC son:

 INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO
SEGURIDAD EN EL CICLO DE DESARROLLO – GRUPO B01

RECOMENDACIÓN DE MODELO A IMPLEMENTAR

Teniendo en cuenta que la empresa Z-Software desarrolla e implementa proyectos de distintos tipos, entre
los cuales se destacan proyectos para entidades del estado se considera que el modelo a implementarse más
adecuado es OPENSAMM.

Si bien la publicación especial 800-64 del Instituto Nacional de Estándares y Tecnología tiene como objetivo
ayudar a las empresas del gobierno a integrar las actividades esenciales de seguridad en la metodología
SDLC, el modelo OPENSAMM ayuda a formular e implementar una estrategia para la seguridad del
software adaptables a cada proyecto.

Esto debido a que gracias a OPENSAMM se puede:

• Evaluar las prácticas de seguridad de software existentes

• Construir un programa de garantía de seguridad de software equilibrado en iteraciones bien
definidas
• Demostrar mejoras concretas a un programa de garantía de seguridad
• Definir y medir actividades relacionadas con la seguridad en una organización
Gracias a su flexibilización en su implementación y acople a distintos proyectos y modelos de negocio sin
importar su tamaño y utilizando cualquier estilo de desarrollo. Además, este modelo se puede aplicar de
forma transversal en todo el proyecto bien sea dentro de una organización, ya que no tiene restricciones al
ser aplicado por una sola línea de negocio o incluso en un proyecto individual.

Este modelo permite describir las Funciones y responsabilidades claves de seguridad, que se necesitan en
el desarrollo de la mayoría de los sistemas de información, identificando consideraciones de seguridad para
cada fase. Adicionalmente, la base del modelo en funciones centrales del desarrollo de software con
prácticas de seguridad vinculadas a cada uno de los componentes básicos del modelo, son los 3 niveles de
madurez definidos por cada una de las 12 prácticas de seguridad; lo cual permite definir una amplia gama
de actividades, que podría ayudar a reducir los riesgos de seguridad y aumentar la garantía del software.

OPENSAMM es un proyecto abierto, el contenido de OPENSAMM siempre está disponible gratuitamente

para que todos lo utilicen. Adicionalmente, OPENSAMM es un modelo ideal de mejora continua ya que su
objetivo es evaluar el estado actual de madurez de la organización al realizar actividades de seguridad de
software dentro del SDLC, lo cual ayuda a indicar una hoja de ruta para la organización, y seguir mejorando
sus capacidades en seguridad y manejo de vulnerabilidades del software. Asimismo, estas actividades
pueden ser almacenadas y aplicadas a distintos proyectos heredando los aprendizajes, prácticas y
experiencias