seguridad vs desarrolladores

31
1Hack ParaLosChicos Jornada Solidaria de Seguridad de la Información 26 de julio, Buenos Aires - Argentina

Upload: jaime-restrepo

Post on 26-May-2015

4.028 views

Category:

Technology


0 download

DESCRIPTION

Seguridad vs DesarrolladoresMartín Tartarelli1Hackparaloschicos

TRANSCRIPT

Page 1: Seguridad vs Desarrolladores

1Hack ParaLosChicos

Jornada Solidaria de Seguridad de la Información26 de julio, Buenos Aires - Argentina

Page 2: Seguridad vs Desarrolladores

#1HackParaLosChicos 2

Seguridad vs

Desarrolladores

Page 3: Seguridad vs Desarrolladores

#1HackParaLosChicos 3

Seguridad vs Desarrolladores

Page 4: Seguridad vs Desarrolladores

#1HackParaLosChicos 4

● Por que existen vulnerabilidades en las aplicaciones?

● Es posible realizar aplicaciones seguras?

● Por que los desarrolladores no hacen foco en seguridad como nosotros esperamos?

Seguridad vs Desarrolladores

Page 5: Seguridad vs Desarrolladores

#1HackParaLosChicos 5

Security: - “Los desarroladores no saben nada de seguridad”...

Developer: - “Bueno, tengo noticias, no sabes nada de desarrollo”...

Seguridad vs Desarrolladores

Page 6: Seguridad vs Desarrolladores

#1HackParaLosChicos 6

Desarrolladores

Page 7: Seguridad vs Desarrolladores

#1HackParaLosChicos 7

Seguridad

Page 8: Seguridad vs Desarrolladores

#1HackParaLosChicos 8

Seguridad

Page 9: Seguridad vs Desarrolladores

#1HackParaLosChicos 9

Seguridad

Page 10: Seguridad vs Desarrolladores

#1HackParaLosChicos 10

Seguridad

Page 11: Seguridad vs Desarrolladores

#1HackParaLosChicos 11

Seguridad vs Desarrolladores

Page 12: Seguridad vs Desarrolladores

#1HackParaLosChicos 12

Seguridad vs Desarrolladores

Page 13: Seguridad vs Desarrolladores

#1HackParaLosChicos 13

Seguridad vs Desarrolladores

Page 14: Seguridad vs Desarrolladores

#1HackParaLosChicos 14

Problematica (vulnerabilidades en aplicaciones)

● Cualquier desarrollador puede hacer una aplicación Web● Cualquier desarrollador puede tener un sitio publico en internet● Son mucho más fáciles de explotar que un buffer overflow● En general es posible acceder a información confidencial sobre clientes de la empresa que es vulnerada en un tiempo relativamente corto

Seguridad vs Desarrolladores

Page 15: Seguridad vs Desarrolladores

#1HackParaLosChicos 15

Algunas de las Causas

● Los requerimientos de seguridad suelen ser pobres o nulos

- “La aplicación debe ser segura”- “La aplicación debe tener validaciones”- “Usar cifrado en datos sensibles”

● Ausencia de proceso de SDLC● Diseño orientado a funcionalidad

Seguridad vs DesarrolladoresSeguridad vs Desarrolladores

Page 16: Seguridad vs Desarrolladores

#1HackParaLosChicos 16

Algunas de las Causas

● Desarrolladores sin entrenamiento en seguridad - Pobre conocimiento de las amenazas

● Escasez de especialistas● Ausencia de políticas de codificación segura● Pobres practicas de QA & Security Testing● Tiempo y presupuestos acotados

Seguridad vs Desarrolladores

Page 17: Seguridad vs Desarrolladores

#1HackParaLosChicos 17

Seguridad vs Desarrolladores

Algunas de las Causas

● Para los desarrolladores la seguridad en las aplicaciones “no es sexy”

- Si se hace bien, es invisible

● Los bonos son por “tiempos de entrega” y no por “calidad”

Page 18: Seguridad vs Desarrolladores

#1HackParaLosChicos 18

Los desarrolladores y las personas de seguridas deben cambiar su forma de construir.

Debemos trabajar en la gestion del cambio

Seguridad vs Desarrolladores

Page 19: Seguridad vs Desarrolladores

#1HackParaLosChicos 19

Si quieres cambiar algo preguntate siempre que estas queriendo conservar.

Humberto Maturana

Seguridad vs Desarrolladores

La escucha y el Observador

Page 20: Seguridad vs Desarrolladores

#1HackParaLosChicos 20

● Los problemas de escucha suelen ser reciprocos:

Quien no se siente escuchado, normalmente tampoco sabe escuchar a los demas.

● Seguridad y Desarrollo son observadores diferentes

●Actuamos en base a lo que observamosSolo podemos intervenir en un mundo que somos capaces de observar

Seguridad vs Desarrolladores

Page 21: Seguridad vs Desarrolladores

#1HackParaLosChicos 21

Seguridad vs Desarrolladores

Observando...

● Charlas y entrevistas con desarrolladores

● Encuestas universitarias

● Encuestas con mas de 200 desarrolladores (John Wilander)

Para averiguar cómo la seguridad es prioridad.

Page 22: Seguridad vs Desarrolladores

#1HackParaLosChicos 22

Prioridades de software según desarrolladoresPrioridades de software según desarrolladores

(1) Funciones y características

(2) Rendimiento

(3) Usabilidad

(4) El tiempo de actividad

(5) Capacidad de mantenimiento

(6) Seguridad

Seguridad vs Desarrolladores

Page 23: Seguridad vs Desarrolladores

#1HackParaLosChicos 23

Seguridad vs Desarrolladores

Prioridades de software según desarrolladoresPrioridades de software según desarrolladores

(1) Un sistema sin funcionalidad es inutil.

(2) Un complemento de seguridad que afecta la performance de todo el sistema lo hace inviable.

(3) Un sistema con un uso muy pobre no traera consumo.

Page 24: Seguridad vs Desarrolladores

#1HackParaLosChicos 24

Seguridad vs Desarrolladores

Prioridades de software según desarrolladoresPrioridades de software según desarrolladores

(4) Hey! Eso es nuestro! NO, el hecho de que los ataques de DoS puedan existir no significa que sea un tema propio.

(5) El mantenimiento afecta al retorno de la inversion y soporte.

(6) Seguridad.

Page 25: Seguridad vs Desarrolladores

#1HackParaLosChicos 25

Aclaraciones

● La lista de prioridades no es un ordenamiento de funciones.

● No indica que la seguridad debe ser independiente.

● La lista se limita a decir cómo los gerentes o lideres priorizan el gasto y el tiempo de los desarrolladores en el trabajo y la capacitación.

Seguridad vs Desarrolladores

Page 26: Seguridad vs Desarrolladores

#1HackParaLosChicos 26

Aclaraciones

● Un problema de rendimiento vs uno de seguridad.

● Un curso de HTML5 y otro de AppSec

● Premios y bonos por tiempo vs Calidad

● Cantidad de modulos vs Cantidad de bugs

Seguridad vs Desarrolladores

Page 27: Seguridad vs Desarrolladores

#1HackParaLosChicos 27

Seguridad vs Desarrolladores

Page 28: Seguridad vs Desarrolladores

#1HackParaLosChicos 28

Estableciendo un cambio

● Cambiar la manera de observar las aplicaciones.● Generar premios por generar codigo seguro.Lograr inquietudes

Segun sus inquietudes actuaran de una u otra forma. La inquietud es lo que mueve a actuar.

● Comer con los desarrolladores: Tome un poco de su presupuesto de seguridad y establesca almuerzos o desayunos con desarrolladores.

Seguridad vs Desarrolladores

Page 29: Seguridad vs Desarrolladores

#1HackParaLosChicos 29

Estableciendo un cambio

● Las personas son la clave para las soluciones. Los profesionales de seguridad deben construir buenas relaciones con los desarrolladores de software para llevar a cabo aplicaciones seguras.

● Aprender lo que es importante en el software y donde la seguridad se inscribe como un proceso.

Seguridad vs Desarrolladores

Page 30: Seguridad vs Desarrolladores

#1HackParaLosChicos 30

Preguntas?[@tartamar]

Page 31: Seguridad vs Desarrolladores

Muchas Gracias!!

#1hackparaloschicos