Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. Introducción
2. Seguridad en el Software y Modelos Seguros
3. Modelo de Desarrollo Seguro Viewnext-UEx
4. Metodología de Implantación Modelo VN-UEx
5. Resultados de aplicar el Modelo Viewnext-UEx
6. Conclusiones, líneas futuras y publicaciones
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
Introducción y contexto
01
02
IS GBS
03
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 4
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
Motivación de la investigación
Evolución de los incidentes gestionados por el CCN-CERT. Monitorización de ataques cibernéticos en tiempo real.
Fuente: CCN-CERT. Fragmento tomado el 19 de febrero de 2021.
Fuente: Kaspersky.
2019 42.997
2018 38.029
2017 26.500
2016 20.940
2015 18.232
2014 12.916
2013 7.263
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 5
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
Motivación de la investigación
30x
Coste de resolución fallos de seguridad función
PRODUCCIÓN de la fase del ciclo del software donde se detecta.
IMPLANTACIÓN Fuente: NIST
PRUEBAS
CODIFICACIÓN
DISEÑO 15x
ANÁLISIS
10x
5x
1x
CICLO DE VIDA DEL SOFTWARE ANÁLISIS CODIFICACIÓN INTEGRACIÓN ACEPTACIÓN PRODUCCIÓN
DISEÑO
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 6
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
Objetivos de la investigación
Metodología de
Metodologías implantación del
especializadas en modelo propuesto
software seguro
Modelo Seguro
Comparar las métricas
Actividades de de la nueva metodología
seguridad propuesta con respecto
imprescindibles a la tradicional
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 7
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
Captchas
DISEÑO
Número de intentos
fallidos
Login
PRUEBAS
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 8
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
PATRONES DE DISEÑO
DISEÑO
CODIFICACIÓN
IMPLANTACIÓN
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 9
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
5. Respuesta PRUEBAS
Datos de Pedido
SQL BDD
DMZ
S T R I D E IMPLANTACIÓN
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 10
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
Formato
HACKER contraseña
Listado de Listado de CODIFICACIÓN
Ataque usuarios contraseñas
diccionario
PRUEBAS
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 11
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
PATRONES DE DISEÑO
DISEÑO MODELADO
CASOS DE ABUSO
ÁRBOLES ATAQUE
BUENAS PRÁCTICAS
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 12
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
PATRONES DE DISEÑO
DISEÑO MODELADO
CASOS DE ABUSO
ÁRBOLES ATAQUE
BUENAS PRÁCTICAS
TEST DE PENETRACIÓN
PRUEBAS
FUZZ TESTING
Test de penetración Fuzz testing
IMPLANTACIÓN
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 13
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
PATRONES DE DISEÑO
DISEÑO MODELADO
CASOS DE ABUSO
ÁRBOLES ATAQUE
BUENAS PRÁCTICAS
TEST DE PENETRACIÓN
PRUEBAS
FUZZ TESTING
Proceso de implantación y Plan de
configuración contingencias
IMPLANTACIÓN PLAN DE CONTINGENCIAS
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 14
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
SAMM
• Building Security In Maturity Model Framework
JOSÉ CARLOS SANCHO NÚÑEZ IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO 15
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
Puntos fuertes
RIESGOS
REQUISITO DE
SEGURIDAD
AMENAZAS
@ # ¡!¿? <>”’%()&+/\
BUENAS
PRÁCTICAS
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 18
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
Políticas
Formación
Análisis
Diseño
Implementación
Pruebas
Pre-Release
Post-Release
Métricas
Uso empresarial
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 19
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
TRADICIONAL
METODOLOGÍA
PROYECTO
ÁGIL
ANÁLISIS FUNCIONAL
FASE COMIENZO
DISEÑO TÉCNICO
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 20
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
Metodología de implantación
VALIDACIÓN DE SALIDAS
FORMACIÓN EN CODIFICACIÓN
SEGURA (20 H) TESTING DE SEGURIDAD
REVISIÓN DE CODIFICACIÓN
FORMACIÓN EN PATRONES DE
DÍSEÑO SEGURO (10H) REVISIÓN DE DISEÑO
Formación y
1 preparación de 2 Evaluación de
seguridad 3 Integración actividades del
Modelo Viewnext-UEX 4
Retrospectiva
y mejora
ecosistema seguro
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 21
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
JOSÉ CARLOS SANCHO NÚÑEZ LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA 22
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
1 Desarrollo del
software 2 Evaluación
seguridad
de
3 Resolución
de fallos
PREVENTIVO
Formación Ecosistema Gestión Análisis y diseño Codificación Pruebas
0 Implantación modelo
Viewnext-UEx 1 Desarrollo del software con
modelo Viewnext-UEx 2 Evaluación de
seguridad 3 Resolución
de fallos
Métricas de productividad
SOLO EN EL PREVENTIVO
% tiempo empleado
53,3 %
22,2%
8,9 % 8,5 %
4,4 % 2,7 %
50,9%
2,6 %
30,6 %
3,5 %
6,3 % 7,8 %
0,13 % 1% 3,1 1,3
Gestión Análisis y diseño Codificación Pruebas Evaluación Resolución de fallos de seguridad
Comparativa de vulnerabilidades
TIPO VULNERABILIDAD CRITICIDAD CATEGORÍA REACTIVO PREVENTIVO
Comparativa de vulnerabilidades
TIPO VULNERABILIDAD CRITICIDAD CATEGORÍA REACTIVO PREVENTIVO
9
8
7
6 REACTIVO
5
4
3
19
2
1 PREVENTIVO
0
Reactivo
Críticas
1
Altas
9
Medias
3
Bajas
6
6 68%
Preventivo 0 3 1 2
50
40
30
20
10
0
Corrección de
Gestión Análisis y diseño Codificación Pruebas Evaluación
vulnerabilidades
Reactivo 4,4 22,2 53,3 8,9 2,7 8,5
Preventivo 6,3 30,6 50,9 7,8 3,1 1,3
Conclusiones I
La aplicación de metodologías reactivas:
Ø Genera un mayor número de vulnerabilidades.
Ø Las vulnerabilidades que se identifican tienen criticidades altas.
Ø Producen un alto impacto en la resolución de los fallos de seguridad.
Conclusiones I
El modelo Viewnext-UEx que se propone:
Ø Incorpora prácticas de seguridad de manera sistemática y planificada.
Ø Se ha implantado en proyectos de software reales.
Ø Conduce a una mejora en los aspectos de seguridad y optimización
en los tiempos de desarrollo del ciclo de vida del software.
Ø Puede ser implantado por cualquier empresa del sector.
Líneas futuras
DEV OPS
C++ LIBERACIÓN DE FIABLIDAD
SOFTWARE RENDIMIENTO
ACTUALIZACIONES ESCALABILIDAD
JAVA
HTML
SEC
CONFIDENCIALIDAD
DISPONIBILIDAD
PHP SEC INTEGRIDAD
DEV
Implantar el modelo en un OPS Adaptar el modelo
número considerable de Viewnext-UEx al enfoque
proyectos SecDevOps
JOSÉ CARLOS SANCHO NÚÑEZ IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO 36
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX
3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES
José Carlos Sancho Núñez, Andrés Caro Lindo, Mar Ávila Vegas and Alberto Bravo
Gómez. New approach for threat classification and security risk estimations based on security
event management. Future Generation Computer Systems. 113:488–505. December 2020.
DOI: 10.1016/j.future.2020.07.015.