seguridad vs desarrolladores
DESCRIPTION
Seguridad vs DesarrolladoresMartín Tartarelli1HackparaloschicosTRANSCRIPT
1Hack ParaLosChicos
Jornada Solidaria de Seguridad de la Información26 de julio, Buenos Aires - Argentina
#1HackParaLosChicos 2
Seguridad vs
Desarrolladores
#1HackParaLosChicos 3
Seguridad vs Desarrolladores
#1HackParaLosChicos 4
● Por que existen vulnerabilidades en las aplicaciones?
● Es posible realizar aplicaciones seguras?
● Por que los desarrolladores no hacen foco en seguridad como nosotros esperamos?
Seguridad vs Desarrolladores
#1HackParaLosChicos 5
Security: - “Los desarroladores no saben nada de seguridad”...
Developer: - “Bueno, tengo noticias, no sabes nada de desarrollo”...
Seguridad vs Desarrolladores
#1HackParaLosChicos 6
Desarrolladores
#1HackParaLosChicos 7
Seguridad
#1HackParaLosChicos 8
Seguridad
#1HackParaLosChicos 9
Seguridad
#1HackParaLosChicos 10
Seguridad
#1HackParaLosChicos 11
Seguridad vs Desarrolladores
#1HackParaLosChicos 12
Seguridad vs Desarrolladores
#1HackParaLosChicos 13
Seguridad vs Desarrolladores
#1HackParaLosChicos 14
Problematica (vulnerabilidades en aplicaciones)
● Cualquier desarrollador puede hacer una aplicación Web● Cualquier desarrollador puede tener un sitio publico en internet● Son mucho más fáciles de explotar que un buffer overflow● En general es posible acceder a información confidencial sobre clientes de la empresa que es vulnerada en un tiempo relativamente corto
Seguridad vs Desarrolladores
#1HackParaLosChicos 15
Algunas de las Causas
● Los requerimientos de seguridad suelen ser pobres o nulos
- “La aplicación debe ser segura”- “La aplicación debe tener validaciones”- “Usar cifrado en datos sensibles”
● Ausencia de proceso de SDLC● Diseño orientado a funcionalidad
Seguridad vs DesarrolladoresSeguridad vs Desarrolladores
#1HackParaLosChicos 16
Algunas de las Causas
● Desarrolladores sin entrenamiento en seguridad - Pobre conocimiento de las amenazas
● Escasez de especialistas● Ausencia de políticas de codificación segura● Pobres practicas de QA & Security Testing● Tiempo y presupuestos acotados
Seguridad vs Desarrolladores
#1HackParaLosChicos 17
Seguridad vs Desarrolladores
Algunas de las Causas
● Para los desarrolladores la seguridad en las aplicaciones “no es sexy”
- Si se hace bien, es invisible
● Los bonos son por “tiempos de entrega” y no por “calidad”
#1HackParaLosChicos 18
Los desarrolladores y las personas de seguridas deben cambiar su forma de construir.
Debemos trabajar en la gestion del cambio
Seguridad vs Desarrolladores
#1HackParaLosChicos 19
Si quieres cambiar algo preguntate siempre que estas queriendo conservar.
Humberto Maturana
Seguridad vs Desarrolladores
La escucha y el Observador
#1HackParaLosChicos 20
● Los problemas de escucha suelen ser reciprocos:
Quien no se siente escuchado, normalmente tampoco sabe escuchar a los demas.
● Seguridad y Desarrollo son observadores diferentes
●Actuamos en base a lo que observamosSolo podemos intervenir en un mundo que somos capaces de observar
Seguridad vs Desarrolladores
#1HackParaLosChicos 21
Seguridad vs Desarrolladores
Observando...
● Charlas y entrevistas con desarrolladores
● Encuestas universitarias
● Encuestas con mas de 200 desarrolladores (John Wilander)
Para averiguar cómo la seguridad es prioridad.
#1HackParaLosChicos 22
Prioridades de software según desarrolladoresPrioridades de software según desarrolladores
(1) Funciones y características
(2) Rendimiento
(3) Usabilidad
(4) El tiempo de actividad
(5) Capacidad de mantenimiento
(6) Seguridad
Seguridad vs Desarrolladores
#1HackParaLosChicos 23
Seguridad vs Desarrolladores
Prioridades de software según desarrolladoresPrioridades de software según desarrolladores
(1) Un sistema sin funcionalidad es inutil.
(2) Un complemento de seguridad que afecta la performance de todo el sistema lo hace inviable.
(3) Un sistema con un uso muy pobre no traera consumo.
#1HackParaLosChicos 24
Seguridad vs Desarrolladores
Prioridades de software según desarrolladoresPrioridades de software según desarrolladores
(4) Hey! Eso es nuestro! NO, el hecho de que los ataques de DoS puedan existir no significa que sea un tema propio.
(5) El mantenimiento afecta al retorno de la inversion y soporte.
(6) Seguridad.
#1HackParaLosChicos 25
Aclaraciones
● La lista de prioridades no es un ordenamiento de funciones.
● No indica que la seguridad debe ser independiente.
● La lista se limita a decir cómo los gerentes o lideres priorizan el gasto y el tiempo de los desarrolladores en el trabajo y la capacitación.
Seguridad vs Desarrolladores
#1HackParaLosChicos 26
Aclaraciones
● Un problema de rendimiento vs uno de seguridad.
● Un curso de HTML5 y otro de AppSec
● Premios y bonos por tiempo vs Calidad
● Cantidad de modulos vs Cantidad de bugs
Seguridad vs Desarrolladores
#1HackParaLosChicos 27
Seguridad vs Desarrolladores
#1HackParaLosChicos 28
Estableciendo un cambio
● Cambiar la manera de observar las aplicaciones.● Generar premios por generar codigo seguro.Lograr inquietudes
Segun sus inquietudes actuaran de una u otra forma. La inquietud es lo que mueve a actuar.
● Comer con los desarrolladores: Tome un poco de su presupuesto de seguridad y establesca almuerzos o desayunos con desarrolladores.
Seguridad vs Desarrolladores
#1HackParaLosChicos 29
Estableciendo un cambio
● Las personas son la clave para las soluciones. Los profesionales de seguridad deben construir buenas relaciones con los desarrolladores de software para llevar a cabo aplicaciones seguras.
● Aprender lo que es importante en el software y donde la seguridad se inscribe como un proceso.
Seguridad vs Desarrolladores
#1HackParaLosChicos 30
Preguntas?[@tartamar]
Muchas Gracias!!
#1hackparaloschicos