MODELOS DE SSDLC

Universidad Tecnológica de Panamá

Facultad de Ingeniería de Sistemas Computacionales (FISC)
Maestría en Seguridad Informática
Aplicaciones Seguras
INTEGRANTES: Exposición No. 4
ABDIEL ALVEO CÉDULA: 8-864-535 Profesor Xiegdel Miranda
ALONSO PINTO     CÉDULA: 2-728-227
BELISARIO TEJADA CÉDULA: 8-230-1447 27 de marzo de 2023
Porqué utilizar el Ciclo de Desarrollo Seguro de Software (SSDLC) ?
OWASP SAMM
PROBLEMA del SDLC: su prioridad es la FUNCIONALIDAD del software, y normalmente la SEGURIDAD se aborda de manera superficial
(análisis y pruebas de intrusión) en la etapa de pruebas del SDLC, después de haber completado las tareas más importantes de diseño e
implementación. La resolución de los problemas en estas etapas lleva mucho tiempo y es más costosa, ya que puede requerir que se vuelva a
desarrollar y probar todo el software

E0 E1 E2 E3 E4 E5 E6

SOLUCIÓN del SSDLC: Incluir la Seguridad en todas las

etapas del Ciclo de Vida de Desarrollo del Software

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 2

research
Costo Relativo de Arreglar Defectos por etapa del SDLC
OWASP SAMM
El costo de resolver una falla
en la etapa de mantenimiento
puede ser hasta 100 veces
superior al valor de resolverlo
en la etapa de diseño

Una falla en la seguridad de un

sistema puede extenderse
más allá del sistema en sí
mismo:
• Afectando a otros
sistemas conectados con
él (backends o bases de
datos)
• Utilizarse como parte de
una campaña de
distribución de malware u
Fuente: IBM System Science Institute otro tipo de ataques a
terceros

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 3

research
QUÉ ES OWASP SAMM V 2.0.7 ?
OWASP SAMM - “Software Assurance Maturity Model” https://owaspsamm.org/

Modelo de Madurez de OWASP para Aseguramiento de Programas, basado en una Plataforma Abierta

Analiza y Mejora la Postura de Seguridad de software de manera efectiva y medible

Concientiza y Educa sobre cómo diseñar, desarrollar e implementar Software Seguro (Estrategia de
Seguridad de Software) a través de un modelo de autoevaluación

Apoya el Ciclo de Vida completo del software y es Independiente de la Tecnología y de los Procesos

Es de naturaleza evolutiva e impulsado por el Riesgo. No existe una única receta que funciona para todas las
organizaciones

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 4

research
CUÁLES SON SUS PRINCIPALES CARACTERÍSTICAS ?
OWASP SAMM

MEDIBLE ACCIONABLE VERSÁTIL

Niveles de madurez definidos en las Vías claras para mejorar los Tecnología, proceso y
prácticas de seguridad niveles de madurez organización agnósticos

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 5

research
CUÁLES SON SUS VENTAJASY BENEFICIOS ?
OWASP SAMM

• MENOR RIESGO: La principal ventaja es la reducción general del riesgo en una organización y el aumento de su confianza
• SOFTWARE MÁS SEGURO: Introducir la seguridad en el proceso de desarrollo supone un enfoque proactivo que resulta en un
software más seguro, ya que, al haberse considerado la seguridad desde un primer momento, permite detectar y solucionar
tempranamente las fallas.
• MENOR COSTO: La detección temprana de fallas trae aparejada una reducción de costos, ya que las modificaciones, el tiempo y la
complejidad de su solución son menores.
• MITIGACIÓN DE ERRORES: También permite identificar causas y evitar que se repitan errores comunes de seguridad, por lo que
se ve reducida la probabilidad de vulnerabilidades en el producto final.
• REDUCIR VULNERABILIDADES: Incluir conceptos de seguridad en la etapa de diseño también puede ayudar a mitigar el impacto
de la explotación de alguna vulnerabilidad no detectada en el ciclo de desarrollo.
• CONCIENTIZACIÓN: Genera conciencia de seguridad en los equipos involucrados en el ciclo de desarrollo
• MEDICIÓN DEL ESTADO ACTUAL: Hace posible obtener mediciones tangibles sobre el estado de la seguridad en el software. Esto
permite la toma de decisiones informadas en lo que refiere a seguridad, así como su conocimiento y registro
• ADOPCIÓN GRADUAL: Es un sistema flexible, que permite una adopción gradual proponiendo tres niveles de madurez

• DESVENTAJA: El dinero gastado en SEGURIDAD, en el corto plazo, es dinero que no se invierte en el NEGOCIO.

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 6

research
QUÉ PASOS PUEDO SEQUIR ?
OWASP SAMM 1 2
Listado de Análisis de Impacto
Análisis de Riesgo
Aplicaciones al Negocio Priorización Nivel de Riesgo
R=PxI
del Negocio BIA

Priorización por 3 Apetito de Riesgo

Impacto al Negocio del Negocio
Modelo de Madurez de Software
SAMM

Nivel Deseado de Prácticas Actuales

Aseguramiento de Software 4 de Seguridad de Software

Programa de Seguridad
Situación Deseada de Aplicaciones Situación Actual SDLC
Gap Analysis

Hoja de Ruta Presupuesto

Anual Anual

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 7

research
CUÁLES SON LOS PRINCIPIOS BÁSICOS DEL SAMM ?
OWASP SAMM

El comportamiento de una • TOMA TIEMPO: Los cambios deben ser iterativos

organización CAMBIA
lentamente a lo largo del tiempo
mientras se trabaja sobre las metas de largo plazo

No hay una RECETA que funcione • ADAPTABLE: La solución debe permitir opciones basadas
para todas las organizaciones en riesgo, que estén adaptadas a cada organización

La GUÍA asociada con las • DETALLADA: La solución debe brindar suficientes detalles
actividades de seguridad
debe ser prescriptiva
para personas que no sean del área de seguridad

En general el MODELO debe ser • MEDIBLE: Modelo OWASP de Madurez de Aseguramiento

simple, bien definido y medible de Software (SAMM)

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 8

research
CUÁLES SON LOS FACTORES CRÍTICOS DE ÉXITO ?
OWASP SAMM

Conseguir la Aceptación de los Adoptar un

La base es la Educación y
STAKEHOLDERS Enfoque basado en
CONCIENTIZACIÓN
RIESGOS

Integrar y AUTOMATIZAR
la Seguridad en los Procesos Brindar Visibilidad a la Gerencia
de Desarrollo, Adquisición y mediante MEDICIONES
Despliegue

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 9

research
Modelo de
Madurez
OWASP SAMM

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 10

research
ESTRUCTURA DEL SAMM ?
OWASP SAMM

Para cada una de las 5 FUNCIONES DE NEGOCIO, hay definidas 3 PRÁCTICAS DE SEGURIDAD
Las prácticas de seguridad cubren áreas relevantes para garantizar la seguridad del software
Las funciones del negocio están alineadas con las etapas del SSDLC

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 11

research
 ESTRUCTURA DEL SAMM CON CATEGORÍAS (STREAMS) ?
OWASP SAMM

Categoría B: el foco
Categoría A: el foco
es en UTILIZAR los
es en HACER y
datos y generar
obtener datos
resultados

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 12

research
 NIVEL DE MADUREZY ASIGNACIÓN DE PUNTAJES DE EVALUACIÓN
OWASP SAMM

Es raro encontrar
organizaciones en
los niveles 2 y 3

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 13

research
Enfoque Típico de Implementación del SAMM
OWASP SAMM
• Propósito
• Alcance inicial (equipos y proyecto piloto)
• “Stakeholders”
1. PREPARAR • Comunicar

• Realizar Mejoras • Evaluar situación actual de las 15 Prácticas de Seguridad

• Medir la Efectividad 6. DESPLEGAR 2. EVALUAR • Determinar el nivel de madurez
• Usar “Self Assessment Excel”

3. ESTABLECER • Definir la Meta y el Plazo para cumplirla

• Ejecutar las Actividades del Plan 5. IMPLEMENTAR • Estimar el Impacto Total
LA META

4. DEFINIR • Determinar la agenda de cambios y actividades

EL PLAN
• Desarrolla y actualiza la Hoja de Ruta del Plan

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 14

research
Utilización
OWASP SAMM

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 15

research
EJEMPLO DE NIVEL DE MADUREZ
OWASP SAMM
BUSINESS FUNCTION – SECURITY PRACTICE
VERIFICACIÓN – PRUEBAS DE REQUERIMIENTOS

STREAM A STREAM B
NIVEL DE MADUREZ Verificación de Controles Pruebas de Mal Uso/Abuso

1 – Encuentra vulnerabilidades
básicas y otros problemas de
seguridad al azar
2 - Realiza la revisión de
implementaciones para
descubrir riesgos específicos de
la aplicación, en base a los
requerimientos de seguridad
3 – Mantiene el nivel de
seguridad de la aplicación
después de cambios que
corrigen errores o durante
mantenimientos
Define los controles básicos de
seguridad
Define los escenarios de prueba a
partir de los requerimientos de
seguridad conocidos
Realiza pruebas de regresión
(mediante pruebas unitarias de
seguridad)
Realiza pruebas de seguridad
Crea y prueba escenarios de
abuso así como pruebas de
error en la lógica de negocio
Pruebas de estrés de seguridad
y de denegación de servicios

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 16

research
SAMM ToolBox (Self Assesment Excel) Online: https://sammy.codific.com/fill/strategy-and-metrics

Justificación Puntajes
OWASP SAMM Maturity Level Security Practice Business Function

Stream A

Stream B

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 17

research
SAMM ToolBox (Dashboard)
OWASP SAMM Puntaje por Security Practice = ML1+ML2+ML3 Puntaje por Business Function = Promedio de Security Practices

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 18

research
SAMM ToolBox (Roadmap)
OWASP SAMM Puntaje Actual Puntaje Fase 1

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 19

research
SAMM ToolBox (Graphic Roadmap)
4 Fases Gráficos de Araña
OWASP SAMM Security Practices

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 20

research
Herramientas
OWASP SAMM

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 21

research
QUÉ HERRAMIENTAS SE PUEDEN UTILIZAR ?
CODIFIC SAMMY

• Gratuito
• Permite definir alcances
• Permite asignar roles
• Incluye Reportes
• Cubre el flujo completo de SAMM

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 22

research
SAMMY
Definiendo objetos de evaluación

Agregue un pie de página TREY 23

research
SAMMY
Evaluando

Agregue un pie de página TREY 24

research
SAMMY
Estableciendo planes de mejora

Agregue un pie de página TREY 25

research
SAMMY
Visualizar los resultados de la evaluación

Agregue un pie de página TREY 26

research
Caso de Estudio
OWASP SAMM

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 27

research
DEMOSTRACIÓN DE CASO DE ESTUDIO
OWASP SAMM

UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 28

research