SEGURIDAD EN EL CICLO DE DESARROLLO

PRESENTADO POR:

VERONICA ALEXANDRA OLAYA BUSTOS

100110754

TUTOR:

Alfredo López Hernández

POLITECNICO GRANCOLOMBIANO

2023
 TABLA DE CONTENIDO

INTRODUCCIÓN .................................................................................................................. 3

OBJETIVO ............................................................................................................................. 4

ANTECEDENTES ................................................................................................................. 5

MODELOS EXISTENTES .................................................................................................... 6

Modelo Microsoft Security Developmet Lifecycle…………………………..………..6

Modelo Open Web Application Security Project / OWASP….. ................... ………….7

Modelo Security Considerations In The System Developmet Life Cycle NIST 800-64..8

Modelo Open Software Assurance MAturity Model OPENSAMM ........................ …..9

RECOMENDACIÓN MODELO A IMPLEMENTAR .........................................................10

REFERENCIAS BIBLIOGRÁFICAS ................................................................................. 12

2
  INTRODUCCIÓN

Este informe se realiza con el fin de presentar la propuesta final como consultores para

implementar un proceso estructurado de seguridad de la información para la empresa Z-Software,

la idea de la seguridad es basada en diseñar el correcto funcionamiento cuando se encuentre bajo

un ataque malintencionado anulando los accesos no autorizados al sistema ya que con frecuencia

los piratas cibernéticos pueden ingresar a la plataforma y ocasionar problemas aprovechándose de

los defectos que aun tiene el software.

La propuesta se basa en desarrollar un software de alta calidad y dar cumplimiento a las

necesidades de los clientes.

3
  OBJETIVO

El informe tiene como objetivo asesorar a la empresa Z-Software, haciendo un análisis detallado

de sus necesidades, resaltando la importancia de validar, evaluar y aprender sobre la

implementación de un proceso estructurado de seguridad en su proceso de desarrollo, e

implementación de sistemas de información y realizar recomendaciones acordes a su modelo de

negocios.

4
  ANTECEDENTES

La compañía Z-Software se dedica al desarrollo y fabricación de software, con dos años de experiencia

en el mercado, ha desarrollado e implementado varios proyectos para entidades del estado. A pesar de ser

una empresa con buenos resultados también ha recibido PQRS por causa de la baja seguridad de las

aplicaciones, por lo que la empresa se ha comprometido en arreglar el problema.

Dado al que el gerente la compañía no quiere perder clientes y para ganar tiempo ha solicitado una

asesoría para lo cual se debe realizar un informe donde se implemente un proceso estructurado de

seguridad de la información donde mencione los 4 modelos de seguridad en el ciclo de desarrollo y de

igual manera que recomiende uno teniendo en cuenta que la empresa está dispuesta a invertir los recursos

necesarios.

5
  MODELOS EXISTENTES

 Security considerations in the system development life cycle NIST 800-64

1. Open Web Application Security Project – OWASP
2. Microsoft security development lifecycle
3. Open Software Assurance Maturity Model – OPENSAMM

 Modelo Security Considerations In The System Developmet Life Cycle NIST 800-64

Este modelo se compone de 5 fases y cada una se compone de una serie de actividades a

desarrollar y a continuación se mencionan.

Iniciación

En esta fase se planea el proyecto, se hacen evaluaciones de impacto al negocio y a la privacidad

de los datos, se categorizan los sistemas de información y se hace aseguramiento del sistema de

desarrollo seguro.

Desarrollo/Adquisición

En esta fase se evalúan riesgos, se hace selección y documentación de controles de seguridad, se

diseña arquitectura de la seguridad, diseñar ingeniería de controles de seguridad y desarrollo,

desarrollar documentación de seguridad y pruebas.

Implementación/Adquisición

En esta fase se implementa la creación de un plan de certificación y acreditación, integrar

seguridad en ambientes y sistemas, sistema de control de acceso y sistema de autorización.

6
 Operaciones y Mantenimientos

En esta fase se realizan evaluaciones de seguridad operacional, se revisan configuraciones,

gestión y control y se hace monitoreo continuo.

Disposición

En esta fase se construye y ejecuta un plan de disposición, se asegura la preservación de la

información, se sanitizan medios, disposición de hardware y software y cierre del sistema.

 Modelo Open Web Application Security Project / OWASP

OWASP es una organización que desarrolla proyectos orientados a la seguridad en el software.

4. Este modelo implementa 7 pasos para realizar.

5. Implementar un programa de sensibilización para generar conciencia de seguridad en los

desarrolladores.

6. Evaluar vulnerabilidades comunes de la aplicación

7. Definir requisitos que debe cumplir la aplicación

8. Implementar un desarrollo seguro como codificación segura, análisis de código para

buscar posibles vulnerabilidades en cuanto a la seguridad.

9. Cierre de vulnerabilidades identificadas.

10. Definir métricas de seguridad y monitorearlas.

11. Publicar políticas de seguridad operativa como documentación, aprobación y

formalización de las políticas de seguridad operativas en temas de desarrollo seguro.

7
  Modelo Microsoft Security Developmet Lifecycle

Este modelo se enfoca en un proceso cuyo objetivo es construir software más seguro y estable y

se basa en 7 fases en las que cada una tiene una serie de prácticas que se deben cumplir para

garantizar la seguridad en el ciclo de desarrollo. A continuación, se mencionan

Entrenamiento

En esta fase se hace capacitación de seguridad.

Requerimientos

En esta fase se establecen los requisitos de seguridad y privacidad y se crean puntos de calidad,

también se hacen evaluaciones de riesgo de seguridad y privacidad

Diseño

En esta fase se establecen los requisitos de diseño, se realiza Análisis de la superficie de ataque y

modelamiento de amenazas.

Implementación

En esta fase se utilizan herramientas aprobadas, se desaprueban funciones no seguras, y se realiza

un análisis estático de código.

Verificación

En esta fase se realiza un análisis dinámico, se hacen pruebas fuzz, y se hace revisión de superficie

de ataque.

Liberación

En esta fase se trata de crear un plan de respuesta a incidentes, se hace revisión de la conducta

final de seguridad y se certifica lanzamiento y archivo.

8
Respuesta

En esta fase se ejecuta el plan de respuesta a incidentes.

 Modelo Open Software Assurance MAturity Model OPENSAMM

Este modelo es una guía para integrar seguridad en el desarrollo de software y esta estructurada

en 4 funciones de las cuales cada una se compone de tres prácticas de seguridad que a

continuación.

Gobierno

En esta función se practica estrategia y métricas. Dirección estratégica del aseguramiento del

software y sus métricas. Política y Cumplimiento se establece una estructura de auditoria, control

y cumplimento. Educación y orientación se incrementa el conocimiento de seguridad en los

desarrolladores.

Construcción

En esta función se hace evaluación e identificación de Amenazas o posibles ataques contra el

software. Requisitos de seguridad, se incluyen necesidades de seguridad. Arquitectura de

seguridad, se fortalece el proceso de diseño bajo una seguridad permanente.

Verificación

En esta función se revisa el diseño para asegurar mecanismos de seguridad pertinentes, se evalúa

el código fuente en búsqueda de vulnerabilidades. Y se hacen pruebas en la aplicación en

búsqueda de estas.

Implementación

En esta función se administran y tratan vulnerabilidades y se mejora el programa de

aseguramiento, también se implementan controles de seguridad en el ambiente donde está

instalada la aplicación y se identifica información de seguridad pertinente para implementar y

9
poner en marcha programas es decir se hace habilitación operativa.

RECOMENDACIÓN MODELO A IMPLEMENTAR

Open Web Application Security Project / OWASP.

Lo primero que debemos indicar es que OWASP ZAP no es una herramienta comercial, es

completamente gratuita y de código abierto, además, es una herramienta multiplataforma, siendo

compatible con sistemas operativos Windows (de 32 y 64 bits), Linux, MacOS, e incluso podemos

descargarnos un contenedor Docker que incorporará todo lo necesario para ejecutarlo

correctamente. Este programa es muy sencillo de instalar, tan solo necesitaremos tener Java

instalado en nuestro equipo para poder ejecutarlo, otras características son que esta herramienta

está traducida en más de 12 idiomas entre los que se incluye el español, además, gracias a la

comunidad disponemos de una gran cantidad de documentación, tutoriales de ayuda y también

tenemos foros donde podremos poner nuestro problema y nos ayudarán a solucionarlo.

OWASP es una organización que desarrolla proyectos orientados a la seguridad en el software.

Este modelo implementa 7 pasos para realizar.

1. Implementar un programa de sensibilización para generar conciencia de seguridad en los

desarrolladores.

2. Evaluar vulnerabilidades comunes de la aplicación

3. Definir requisitos que debe cumplir la aplicación

4. Implementar un desarrollo seguro como codificación segura, análisis de código para

buscar posibles vulnerabilidades en cuanto a la seguridad.

5. Cierre de vulnerabilidades identificadas.

6. Definir métricas de seguridad y monitorearlas.

10
 7. Publicar políticas de seguridad operativa como documentación, aprobación y

formalización de las políticas de seguridad operativas en temas de desarrollo seguro.

Los proyectos de OWASP están ampliamente divididos en dos categorías principales: los

proyectos de desarrollo, y los proyectos de documentación. Nuestros proyectos de documentación

actualmente consisten en:

• La Guía - Este documento que proporciona orientación detallada sobre la seguridad de

aplicaciones web.

• El Top Ten de las vulnerabilidades más críticas de Aplicaciones Web - Un documento de alto

nivel para ayudar a centrarse en las cuestiones más críticas.

• Métricas - Un proyecto viable para definir las métricas de seguridad de aplicaciones web.

• Legal - Un proyecto de software para ayudar a compradores y vendedores negociar una

seguridad adecuada en sus contratos.

• Guía de Testeo - Una guía eficaz centrada en pruebas de la seguridad de aplicaciones web.

• ISO17799 - Los documentos de soporte para las organizaciones haciendo revisiones ISO17799

• AppSec FAQ - Preguntas frecuentes y respuestas sobre seguridad de aplicaciones Los proyectos

de desarrollo incluyen:

• WebScarab - una aplicación Web que incluye una suite de evaluación de vulnerabilidades y

herramientas Proxy.

• Los filtros de validación - (Stinger para J2EE, filtros para PHP) filtros de frontera genéricos de

seguridad que los desarrolladores pueden utilizar en sus propias aplicaciones.

• WebGoat - una herramienta de capacitación y evaluación interactiva que los usuarios pueden

utilizar para aprender sobre seguridad de aplicaciones web en un lugar seguro y legal.

• DotNet - una variedad de herramientas para asegurar entornos .NET.

11
 REFERENCIAS BIBLIOGRÁFICAS

Software Assurance Maturity Model

https://owaspsamm.org/

Microsoft Security Development Lifecycle

https://www.microsoft.com/en-us/securityengineering/sdl

NIST Special Publication 800-64 Revision 2

https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-64r2.pdf

12