SlideShare a Scribd company logo

Jose carlossancho slidesLa seguridad en el desarrollo de software implementada de forma preventiva

Facultad de Informática UCM
Facultad de Informática UCM

La aparición de vulnerabilidades por la falta de controles de seguridad es una de las causas por las que se demandan nuevos marcos de trabajo que produzcan software seguro de forma predeterminada. En la conferencia se abordará cómo transformar el proceso de desarrollo de software dando la importancia que merece la seguridad desde el inicio del ciclo de vida. Para ello se propone un nuevo modelo de desarrollo – modelo Viewnext-UEx – que incorpora prácticas de seguridad de forma preventiva y sistemática en todas las fases del proceso de ciclo de vida del software. El propósito de este nuevo modelo es anticipar la detección de vulnerabilidades aplicando la seguridad desde las fases más tempranas, a la vez que se optimizan los procesos de construcción del software. Se exponen los resultados de un escenario preventivo, tras la aplicación del modelo Viewnext-UEx, frente al escenario reactivo tradicional de aplicar la seguridad a partir de la fase de testing.

Engineering
1 of 38
Download to read offline
José Carlos Sancho Núñez (jcsanchon@unex.es) Profesor Universidad de Extremadura e Investigador Cátedra Viewnext-UEx 02/12/2021 La Seguridad en el Desarrollo de Software implementada de forma Preventiva
PRESENTACIÓN José Carlos Sancho Núñez • Ingeniero en Informática • Doctor en Tecnologías Informáticas • Profesor Universidad de Extremadura • Investigador Cátedra Viewnext-UEx • Miembro del Cuerpo Oficial de Peritos del Colegio Profesional de Ingenieros en Informática de Extremadura (Col. 103)
1. Introducción 2. Seguridad en el Software y Modelos Seguros 3. Modelo de Desarrollo Seguro Viewnext-UEx 4. Metodología de Implantación Modelo VN-UEx 5. Resultados de aplicar el Modelo Viewnext-UEx 6. Conclusiones, líneas futuras y publicaciones ÍNDICE
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 4 Introducción y contexto 01 IS GBS 02 03 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 5 Motivación de la investigación Evolución de los incidentes gestionados por el CCN-CERT. Fuente: CCN-CERT. Monitorización de ataques cibernéticos en tiempo real. Fragmento tomado el 19 de febrero de 2021. Fuente: Kaspersky. 42.997 38.029 26.500 20.940 18.232 12.916 7.263 2019 2018 2017 2016 2015 2014 2013 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 6 Motivación de la investigación 1x 5x 10x 15x 30x ANÁLISIS DISEÑO CODIFICACIÓN INTEGRACIÓN ACEPTACIÓN PRODUCCIÓN Coste de resolución fallos de seguridad función de la fase del ciclo del software donde se detecta. Fuente: NIST CICLO DE VIDA DEL SOFTWARE DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN PRODUCCIÓN ANÁLISIS 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 7 Objetivos de la investigación Metodologías especializadas en software seguro Actividades de seguridad imprescindibles Nuevo marco de trabajo con prácticas de seguridad Metodología de implantación del modelo propuesto Comparar las métricas de la nueva metodología propuesta con respecto a la tradicional Transferir los resultados a la comunidad científica Diseñar e implantar un nuevo modelo de desarrollo de software seguro que mejore la seguridad y la productividad del Desarrollo. Modelo Seguro 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 8 Seguridad en el ciclo de vida del software Seguridad análisis – Requisitos de seguridad EVITAR ATAQUES AUTOMATIZADOS Captchas Doble factor autenticación Número de intentos fallidos Login ANÁLISIS DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN CORNUCOPIA SAFECODE IRIUSRISK 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 9 Seguridad en el ciclo de vida del software Seguridad diseño – Patrones de diseño Principio menor privilegio Reducción de ataque Separación de privilegios “Fallo Seguro” CORNUCOPIA SAFECODE IRIUSRISK PATRONES DE DISEÑO ANÁLISIS DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 10 Seguridad en el ciclo de vida del software Seguridad diseño – Modelado de amenazas Web Service Directorio Activo SQL BDD SmartPhone DMZ Intranet 1. HTTPS – Petición Datos de Pedido 6. HTTPS – Datos de Pedido 2. Petición de Autenticación 3. Confirmación Autenticado 4. Petición Datos de Pedido 5. Respuesta Datos de Pedido Internet CORNUCOPIA SAFECODE IRIUSRISK PATRONES DE DISEÑO MODELADO S T R I D E ANÁLISIS DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 11 Seguridad en el ciclo de vida del software Seguridad diseño – Otras técnicas Casos de abuso Árboles de ataque CORNUCOPIA SAFECODE IRIUSRISK PATRONES DE DISEÑO MODELADO CASOS DE ABUSO ÁRBOLES ATAQUE ANÁLISIS DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN Prueba de acceso Ataque diccionario HACKER Formato contraseña Cuenta de usuario Ataque por fuerza bruta Automatizar ataque Listado de usuarios Listado de contraseñas Diccionario 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 12 Seguridad en el ciclo de vida del software Seguridad en la codificación Buenas prácticas de codificación Revisión de código manual Revisión de código automática CORNUCOPIA SAFECODE IRIUSRISK PATRONES DE DISEÑO MODELADO CASOS DE ABUSO ÁRBOLES ATAQUE BUENAS PRÁCTICAS REVISIÓN MANUAL REVISIÓN AUTOMÁTICA ANÁLISIS DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 13 Seguridad en el ciclo de vida del software Seguridad en las pruebas Test de penetración Fuzz testing CORNUCOPIA SAFECODE IRIUSRISK PATRONES DE DISEÑO MODELADO CASOS DE ABUSO ÁRBOLES ATAQUE BUENAS PRÁCTICAS REVISIÓN MANUAL REVISIÓN AUTOMÁTICA TEST DE PENETRACIÓN FUZZ TESTING ANÁLISIS DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 14 Seguridad en el ciclo de vida del software Seguridad en la implantación CORNUCOPIA SAFECODE IRIUSRISK PATRONES DE DISEÑO MODELADO CASOS DE ABUSO ÁRBOLES ATAQUE BUENAS PRÁCTICAS REVISIÓN MANUAL REVISIÓN AUTOMÁTICA TEST DE PENETRACIÓN FUZZ TESTING PLAN DE CONTINGENCIAS Proceso de implantación y configuración Plan de contingencias ANÁLISIS DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 15 Modelos de Desarrollo Seguro ANÁLISIS DE METODOLOGÍAS DE DESARROLLO SEGURO Casos de abuso Guía y estándares de desarrollo seguro Diagrama de clases de seguridad Cumplimiento y política Revisión de funciones complejas Identificar roles de usuario y capacidades de recursos Usar herramientas aprobadas Análisis de las arquitecturas Securización del entorno Entorno del software Identificar recursos y límites de confianza Configuración de seguridad en BD TSP- SECURE ASDL/SDL MICROSOFT SAMM CLASP OSSA BSIMM Formación Evaluación y métricas Definición de riesgos Requisitos de seguridad Modelado de amenazas Revisión diseño Revisión código Testing de seguridad Validación de salidas Plan de respuesta a incidentes • Microsoft SDL • Agile-SDL • Oracle Software Security Assurance • Comprehensive Lightweight Application Security Process • Team Software Process Secure • Software Assurance Maturity Model • Building Security In Maturity Model Framework 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 16 Modelo de Desarrollo Seguro Viewnext-UEx Preventivo Integrado Flexible Retroalimentado Reutilizable 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 17 Puntos fuertes Herramienta entrenamiento seguro Trazabilidad durante todo el ciclo REQUISITO DE SEGURIDAD AMENAZAS RIESGOS BUENAS PRÁCTICAS < > ” ’ % ( ) & + / @ # ¡!¿? 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 18 Actividades novedosas del Modelo Viewnext-UEx 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 19 Modelo Viewnext-UEx VS otros Fase/Modelo Microsoft SDL/ASDL OSSA CLASP TSP-Secure SAMM BSIMM Viewnext-UEx Políticas Formación Análisis Diseño Implementación Pruebas Pre-Release Post-Release Métricas Uso empresarial 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 20 Características de un proyecto de software DISEÑO TÉCNICO ANÁLISIS FUNCIONAL PROYECTO TIPOLOGÍA METODOLOGÍA FASE COMIENZO ÁGIL TRADICIONAL MANTENIMIENTO NUEVO DESARROLLO 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 21 Metodología de implantación Integración actividades del Modelo Viewnext-UEX Retrospectiva y mejora Evaluación de seguridad 2 3 4 Formación y preparación de ecosistema seguro 1 FORMACIÓN EN PATRONES DE DÍSEÑO SEGURO (10H) FORMACIÓN EN CODIFICACIÓN SEGURA (20 H) VALIDACIÓN DE REQUISITOS MODELADO DE AMENAZAS REVISIÓN DE DISEÑO REVISIÓN DE CODIFICACIÓN TESTING DE SEGURIDAD VALIDACIÓN DE SALIDAS FORMACIÓN EN ANÁLISIS DE SEGURIDAD (10H) 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 22 Indicadores: seguridad y productividad VULNERABILIDAD CRITICIDAD CATEGORÍA Val. entradas Gestión sesiones Control de Acceso Autorización Errores Arquitectura Configuración Protección datos Etc. Informativa [0] Baja [0.1-3.9] Media [4.0-6.9] Alta [7.0-8.9] Crítica [9.0-10] Arquitectura Desarrollo SEGURIDAD PRODUCTIVIDAD FASE UNIDAD Gestión Análisis y diseño Codificación Pruebas Evaluación Resolución de fallos Desarrollo total Horas 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 23 Aplicación experimental: empresa y proyecto Nuevos Desarrollos Compañía eléctrica Tamaño del Equipo +/- 15 desarrolladores Equipo multifuncional Metodología Ágil Cliente proactivo Caso de estudio Criticidad crítica Incluido el análisis Salvo el testing de seguridad SCRUM – sprint mensual Interesado en mejorar Características del proyecto MÓDULO 1 MÓDULO 2 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 24 Aplicación experimental: escenarios Gestión Análisis y diseño Codificación Pruebas Evaluación de seguridad Resolución de fallos Desarrollo del software 1 2 3 Gestión Análisis y diseño Codificación Pruebas Evaluación de seguridad Resolución de fallos Desarrollo del software con modelo Viewnext-UEx 1 2 3 Implantación modelo Viewnext-UEx 0 Formación Ecosistema PREVENTIVO REACTIVO 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 25 Métricas de productividad 1- Desarrollo del software 2- Auditoría 3- Corrección de fallos Evaluación Gestión Análisis y diseño Codificación Pruebas Resolución de fallos de seguridad % tiempo empleado SOLO EN EL PREVENTIVO 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 26 Escenario reactivo: resultados seguridad 19 VULNERABILIDADES 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 27 Escenario reactivo: resultados productividad 1- Desarrollo del software 2- Auditoría de seguridad 3- Resolución de vulnerabilidades Evaluación Gestión Análisis y diseño Codificación Pruebas Resolución de fallos de seguridad 4,4 % 22,2% 53,3 % 8,9 % 2,7 % 8,5 % % tiempo empleado 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 28 Escenario preventivo: resultados seguridad 6 VULNERABILIDADES 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 29 Escenario preventivo: resultados productividad 1- Desarrollo del software 2- Auditoría de seguridad 3- Resolución de vulnerabilidades Evaluación Gestión Análisis y diseño Codificación Pruebas Resolución de fallos de seguridad 6,3 % 30,6 % 50,9% 7,8 % 3,1 1,3 % tiempo empleado 0,13 % 3,5 % 2,6 % 1 % 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 30 Comparativa de vulnerabilidades TIPO VULNERABILIDAD CRITICIDAD CATEGORÍA REACTIVO PREVENTIVO Validación de entradas Stored Cross Site Scripting Crítica [9-10] Desarrollo X Reflected Cross Site Scripting Alta [7-8.9] Desarrollo X Base de datos accesible Baja [0.1-3.9] Desarrollo X X Atributo autocomplete no inhabilitado Baja [0.1-3.9] Desarrollo X Cambio de peticiones POST por GET Alta [7-8.9] Arquitectura X Directiva POST con parámetros no validados Alta [7-8.9] Desarrollo X Autorización Escalada de privilegios funcional Alta [7-8.9] Desarrollo X Escalada de privilegios por URL Alta [7-8.9] Desarrollo X Gestión de sesiones Identificador de sesión desprotegido Alta [7-8.9] Arquitectura X Cierre de sesión no implementado correctamente Media [4.0-6.9] Arquitectura X 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 31 Comparativa de vulnerabilidades TIPO VULNERABILIDAD CRITICIDAD CATEGORÍA REACTIVO PREVENTIVO Manipulación de errores y logs Información sensible del aplicativo y uso de componentes vulnerables Media [4.0-6.9] Arquitectura X Información sensible en los metadatos Baja [0.1-3.9] Arquitectura X Información sensible en el código fuente Media [4.0-6.9] Arquitectura X Gestión de la configuración Página del servidor por defecto Baja [0.1-3.9] Arquitectura X Aplicativo en HTTP en lugar de HTTPS Alta [7-8.9] Arquitectura X Phising a través marcos Alta [7-8.9] Arquitectura X Inyección de enlaces Alta [7-8.9] Arquitectura X Certificados SSL débiles Alta [7-8.9] Arquitectura X Servicios y puertos habilitados indebidamente Alta [7-8.9] Arquitectura X Respuesta de TCP timestamp Baja [0.1-3.9] Arquitectura X X 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 32 Comparativa de resultados: seguridad Críticas Altas Medias Bajas Reactivo 1 9 3 6 Preventivo 0 3 1 2 0 1 2 3 4 5 6 7 8 9 10 Número de vulnerabilidades PREVENTIVO REACTIVO VULNERABILIDADES 19 6 68% 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 33 Comparativa de resultados: productividad Gestión Análisis y diseño Codificación Pruebas Evaluación Corrección de vulnerabilidades Reactivo 4,4 22,2 53,3 8,9 2,7 8,5 Preventivo 6,3 30,6 50,9 7,8 3,1 1,3 0 10 20 30 40 50 60 % tiempo empleado 1- Desarrollo del software 2- Auditoría de seguridad 3- Resolución de vulnerabilidades 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 34 Conclusiones I La aplicación del modelo Viewnext-UEx con enfoque preventivo: Ø Reduce drásticamente la aparición de vulnerabilidades. Ø Reduce la criticidad de las vulnerabilidades identificadas. Ø Minimiza el tiempo de la resolución de los fallos de seguridad. La aplicación de metodologías reactivas: Ø Genera un mayor número de vulnerabilidades. Ø Las vulnerabilidades que se identifican tienen criticidades altas. Ø Producen un alto impacto en la resolución de los fallos de seguridad. 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 35 Conclusiones I El modelo Viewnext-UEx que se propone: Ø Incorpora prácticas de seguridad de manera sistemática y planificada. Ø Se ha implantado en proyectos de software reales. Ø Conduce a una mejora en los aspectos de seguridad y optimización en los tiempos de desarrollo del ciclo de vida del software. Ø Puede ser implantado por cualquier empresa del sector. 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 36 Líneas futuras Implantar el modelo en un número considerable de proyectos Adaptar el modelo Viewnext-UEx al enfoque SecDevOps DEV OPS SEC LIBERACIÓN DE SOFTWARE ACTUALIZACIONES FIABLIDAD RENDIMIENTO ESCALABILIDAD CONFIDENCIALIDAD DISPONIBILIDAD INTEGRIDAD SEC DEV OPS PHP C++ JAVA HTML 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 37 Publicaciones muy relevantes José Carlos Sancho Núñez, Andrés Caro Lindo and Pablo García Rodríguez. A Preventive Secure Software Development Model for a software factory: a case study. IEEE Access. 8 (1):77653–77665.April 2020. DOI: 10.1109/access.2020.2989113. (Impact Factor = 3.745 - Q1 ) José Carlos Sancho Núñez, Andrés Caro Lindo, Mar Ávila Vegas and Alberto Bravo Gómez. New approach for threat classification and security risk estimations based on security event management. Future Generation Computer Systems. 113:488–505. December 2020. DOI: 10.1016/j.future.2020.07.015. (Impact Factor = 6.125 - Q1 ) 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
José Carlos Sancho Núñez (jcsanchon@unex.es) Profesor Universidad de Extremadura e Investigador Cátedra Viewnext-UEx 02/12/2021 La Seguridad en el Desarrollo de Software implementada de forma Preventiva

Recommended

ingenieria del software
ingenieria del softwareingenieria del software
ingenieria del softwareEvelio Hipuchima
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de softwareMiluska Azabache Gonzales
 
Metodología xp
Metodología xpMetodología xp
Metodología xpPiskamen
 
12.diseño basado en patrones
12.diseño basado en patrones12.diseño basado en patrones
12.diseño basado en patronesRamiro Estigarribia Canese
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de softwareEdgardo Rojas
 
Aseguramiento de la Calidad del Software II
Aseguramiento de la Calidad del Software IIAseguramiento de la Calidad del Software II
Aseguramiento de la Calidad del Software IITensor
 
Modelo de desarrollo concurrente
Modelo de desarrollo concurrenteModelo de desarrollo concurrente
Modelo de desarrollo concurrentesamuel ospino
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 

Recommended

ingenieria del software
ingenieria del softwareingenieria del software
ingenieria del softwareEvelio Hipuchima
 
Pruebas de software
Pruebas de softwarePruebas de software
Pruebas de softwareMiluska Azabache Gonzales
 
Metodología xp
Metodología xpMetodología xp
Metodología xpPiskamen
 
12.diseño basado en patrones
12.diseño basado en patrones12.diseño basado en patrones
12.diseño basado en patronesRamiro Estigarribia Canese
 
Plan de pruebas de software
Plan de pruebas de softwarePlan de pruebas de software
Plan de pruebas de softwareEdgardo Rojas
 
Aseguramiento de la Calidad del Software II
Aseguramiento de la Calidad del Software IIAseguramiento de la Calidad del Software II
Aseguramiento de la Calidad del Software IITensor
 
Modelo de desarrollo concurrente
Modelo de desarrollo concurrenteModelo de desarrollo concurrente
Modelo de desarrollo concurrentesamuel ospino
 
OWASP
OWASPOWASP
OWASPConferencias FIST
 
1ra presentacion metodologias agiles
1ra presentacion metodologias agiles1ra presentacion metodologias agiles
1ra presentacion metodologias agilesInformatica Puente Alto
 
Design sprint
Design sprintDesign sprint
Design sprintAdriana Romero Castillejos
 
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)Micael Gallego
 
Metricas del producto para el Software
Metricas del producto para el SoftwareMetricas del producto para el Software
Metricas del producto para el SoftwareWalter Tejerina
 
Metodologias de desarrollo
Metodologias de desarrolloMetodologias de desarrollo
Metodologias de desarrolloHermes Romero
 
Control de cambios
Control de cambiosControl de cambios
Control de cambiosMónica María Espejo Pérez
 
2 2 estilos arquitectonicos
2 2 estilos arquitectonicos2 2 estilos arquitectonicos
2 2 estilos arquitectonicoslandeta_p
 
Tecnicas de Pruebas
Tecnicas de Pruebas Tecnicas de Pruebas
Tecnicas de Pruebas catalinocordero
 
GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)
GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)
GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)Mónica María Espejo Pérez
 
Validación de Requerimientos
Validación de RequerimientosValidación de Requerimientos
Validación de RequerimientosUTPL UTPL
 
Metodologia xp cortesserranoeliud
Metodologia xp cortesserranoeliudMetodologia xp cortesserranoeliud
Metodologia xp cortesserranoeliudEliud Cortes
 
Modelos de Procesos del Software
Modelos de Procesos del SoftwareModelos de Procesos del Software
Modelos de Procesos del SoftwareJaneth Jimenez
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
tecnicas de revisión del software
tecnicas de revisión del softwaretecnicas de revisión del software
tecnicas de revisión del softwareMARCO POLO SILVA SEGOVIA
 
CI integración continua
CI integración continuaCI integración continua
CI integración continuaMariano German Egui
 
Especificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareEspecificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareJesús E. CuRias
 
Proceso del software
Proceso del softwareProceso del software
Proceso del softwareTensor
 
Principios de la Gerencia en Informática
Principios de la Gerencia en Informática Principios de la Gerencia en Informática
Principios de la Gerencia en Informática Eva Salmerón
 
Ieee 1074
Ieee 1074Ieee 1074
Ieee 1074Juan Restrepo
 
MODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWAREMODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWAREEdwingelviz
 
Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...
Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...
Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...Jack Daniel Cáceres Meza
 
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Pilar Santamaria
 

More Related Content

What's hot

Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)Micael Gallego
 
Metricas del producto para el Software
Metricas del producto para el SoftwareMetricas del producto para el Software
Metricas del producto para el SoftwareWalter Tejerina
 
Metodologias de desarrollo
Metodologias de desarrolloMetodologias de desarrollo
Metodologias de desarrolloHermes Romero
 
2 2 estilos arquitectonicos
2 2 estilos arquitectonicos2 2 estilos arquitectonicos
2 2 estilos arquitectonicoslandeta_p
 
Validación de Requerimientos
Validación de RequerimientosValidación de Requerimientos
Validación de RequerimientosUTPL UTPL
 
Metodologia xp cortesserranoeliud
Metodologia xp cortesserranoeliudMetodologia xp cortesserranoeliud
Metodologia xp cortesserranoeliudEliud Cortes
 
Modelos de Procesos del Software
Modelos de Procesos del SoftwareModelos de Procesos del Software
Modelos de Procesos del SoftwareJaneth Jimenez
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Especificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareEspecificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareJesús E. CuRias
 
Proceso del software
Proceso del softwareProceso del software
Proceso del softwareTensor
 
Principios de la Gerencia en Informática
Principios de la Gerencia en Informática Principios de la Gerencia en Informática
Principios de la Gerencia en Informática Eva Salmerón
 
MODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWAREMODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWAREEdwingelviz
 

What's hot (20)

1ra presentacion metodologias agiles
1ra presentacion metodologias agiles1ra presentacion metodologias agiles
1ra presentacion metodologias agiles
 
Design sprint
Design sprintDesign sprint
Design sprint
 
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
Tema2: Tecnologías de desarrollo web (Desarrollo Aplicaciones Web)
 
Metricas del producto para el Software
Metricas del producto para el SoftwareMetricas del producto para el Software
Metricas del producto para el Software
 
Metodologias de desarrollo
Metodologias de desarrolloMetodologias de desarrollo
Metodologias de desarrollo
 
Control de cambios
Control de cambiosControl de cambios
Control de cambios
 
2 2 estilos arquitectonicos
2 2 estilos arquitectonicos2 2 estilos arquitectonicos
2 2 estilos arquitectonicos
 
Tecnicas de Pruebas
Tecnicas de Pruebas Tecnicas de Pruebas
Tecnicas de Pruebas
 
GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)
GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)
GESTIÓN DE LA CONFIGURACIÓN DEL SOFTWARE (GCS)
 
Validación de Requerimientos
Validación de RequerimientosValidación de Requerimientos
Validación de Requerimientos
 
Metodologia xp cortesserranoeliud
Metodologia xp cortesserranoeliudMetodologia xp cortesserranoeliud
Metodologia xp cortesserranoeliud
 
Modelos de Procesos del Software
Modelos de Procesos del SoftwareModelos de Procesos del Software
Modelos de Procesos del Software
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
 
tecnicas de revisión del software
tecnicas de revisión del softwaretecnicas de revisión del software
tecnicas de revisión del software
 
CI integración continua
CI integración continuaCI integración continua
CI integración continua
 
Especificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de softwareEspecificación y resultados de las pruebas de software
Especificación y resultados de las pruebas de software
 
Proceso del software
Proceso del softwareProceso del software
Proceso del software
 
Principios de la Gerencia en Informática
Principios de la Gerencia en Informática Principios de la Gerencia en Informática
Principios de la Gerencia en Informática
 
Ieee 1074
Ieee 1074Ieee 1074
Ieee 1074
 
MODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWAREMODELOS DE CALIDAD DEL SOFTWARE
MODELOS DE CALIDAD DEL SOFTWARE
 

Similar to Jose carlossancho slidesLa seguridad en el desarrollo de software implementada de forma preventiva

Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...
Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...
Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...Jack Daniel Cáceres Meza
 
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Pilar Santamaria
 
Isec presentacion agesic_2009_martin_vila_julio_balderrama
Isec presentacion agesic_2009_martin_vila_julio_balderramaIsec presentacion agesic_2009_martin_vila_julio_balderrama
Isec presentacion agesic_2009_martin_vila_julio_balderramaCarlos Montañez
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...eccutpl
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Jack Daniel Cáceres Meza
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Hoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoHoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoArthurMorales2
 
SEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICANallely2017
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASJuan407916
 
Presentación del Proyecto de Seguridad, Mantenimiento y Optimización de un Or...
Presentación del Proyecto de Seguridad, Mantenimiento y Optimización de un Or...Presentación del Proyecto de Seguridad, Mantenimiento y Optimización de un Or...
Presentación del Proyecto de Seguridad, Mantenimiento y Optimización de un Or...Centro Guadalinfo de Sierra de Yeguas
 
GUION DE LA SEGURIDAD DE LA INFORMACION_YANIRA.docx
GUION DE LA SEGURIDAD DE LA INFORMACION_YANIRA.docxGUION DE LA SEGURIDAD DE LA INFORMACION_YANIRA.docx
GUION DE LA SEGURIDAD DE LA INFORMACION_YANIRA.docxbivianordonez99
 
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...Manuel Mujica
 
Grupo14 tfinal parte2
Grupo14 tfinal parte2Grupo14 tfinal parte2
Grupo14 tfinal parte2arodri7703
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridadoscar lopez
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 

Similar to Jose carlossancho slidesLa seguridad en el desarrollo de software implementada de forma preventiva (20)

Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...
Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...
Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...
 
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
Planes de auditoria y buenas practicas para entornos cloud computing y bring ...
 
Dominio 8 grupo 11
Dominio 8 grupo 11Dominio 8 grupo 11
Dominio 8 grupo 11
 
Isec presentacion agesic_2009_martin_vila_julio_balderrama
Isec presentacion agesic_2009_martin_vila_julio_balderramaIsec presentacion agesic_2009_martin_vila_julio_balderrama
Isec presentacion agesic_2009_martin_vila_julio_balderrama
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
 
Modelos de desarrollo seguro de software
Modelos de desarrollo seguro de softwareModelos de desarrollo seguro de software
Modelos de desarrollo seguro de software
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
Hoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoHoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyecto
 
SEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICASEGURIDAD INFORMÁTICA
SEGURIDAD INFORMÁTICA
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
 
Presentación del Proyecto de Seguridad, Mantenimiento y Optimización de un Or...
Presentación del Proyecto de Seguridad, Mantenimiento y Optimización de un Or...Presentación del Proyecto de Seguridad, Mantenimiento y Optimización de un Or...
Presentación del Proyecto de Seguridad, Mantenimiento y Optimización de un Or...
 
GUION DE LA SEGURIDAD DE LA INFORMACION_YANIRA.docx
GUION DE LA SEGURIDAD DE LA INFORMACION_YANIRA.docxGUION DE LA SEGURIDAD DE LA INFORMACION_YANIRA.docx
GUION DE LA SEGURIDAD DE LA INFORMACION_YANIRA.docx
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
 
metodos dinamicos
metodos dinamicosmetodos dinamicos
metodos dinamicos
 
Grupo14 tfinal parte2
Grupo14 tfinal parte2Grupo14 tfinal parte2
Grupo14 tfinal parte2
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridad
 
Definicion modelo seguridad
Definicion modelo seguridadDefinicion modelo seguridad
Definicion modelo seguridad
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 

More from Facultad de Informática UCM

¿Por qué debemos seguir trabajando en álgebra lineal?
¿Por qué debemos seguir trabajando en álgebra lineal?¿Por qué debemos seguir trabajando en álgebra lineal?
¿Por qué debemos seguir trabajando en álgebra lineal?Facultad de Informática UCM
 
TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...
TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...
TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...Facultad de Informática UCM
 
DRAC: Designing RISC-V-based Accelerators for next generation Computers
DRAC: Designing RISC-V-based Accelerators for next generation ComputersDRAC: Designing RISC-V-based Accelerators for next generation Computers
DRAC: Designing RISC-V-based Accelerators for next generation ComputersFacultad de Informática UCM
 
Tendencias en el diseño de procesadores con arquitectura Arm
Tendencias en el diseño de procesadores con arquitectura ArmTendencias en el diseño de procesadores con arquitectura Arm
Tendencias en el diseño de procesadores con arquitectura ArmFacultad de Informática UCM
 
Introduction to Quantum Computing and Quantum Service Oriented Computing
Introduction to Quantum Computing and Quantum Service Oriented ComputingIntroduction to Quantum Computing and Quantum Service Oriented Computing
Introduction to Quantum Computing and Quantum Service Oriented ComputingFacultad de Informática UCM
 
Inteligencia Artificial en la atención sanitaria del futuro
Inteligencia Artificial en la atención sanitaria del futuroInteligencia Artificial en la atención sanitaria del futuro
Inteligencia Artificial en la atención sanitaria del futuroFacultad de Informática UCM
 
Design Automation Approaches for Real-Time Edge Computing for Science Applic...
Design Automation Approaches for Real-Time Edge Computing for Science Applic... Design Automation Approaches for Real-Time Edge Computing for Science Applic...
Design Automation Approaches for Real-Time Edge Computing for Science Applic...Facultad de Informática UCM
 
Estrategias de navegación para robótica móvil de campo: caso de estudio proye...
Estrategias de navegación para robótica móvil de campo: caso de estudio proye...Estrategias de navegación para robótica móvil de campo: caso de estudio proye...
Estrategias de navegación para robótica móvil de campo: caso de estudio proye...Facultad de Informática UCM
 
Fault-tolerance Quantum computation and Quantum Error Correction
Fault-tolerance Quantum computation and Quantum Error CorrectionFault-tolerance Quantum computation and Quantum Error Correction
Fault-tolerance Quantum computation and Quantum Error CorrectionFacultad de Informática UCM
 
Cómo construir un chatbot inteligente sin morir en el intento
Cómo construir un chatbot inteligente sin morir en el intentoCómo construir un chatbot inteligente sin morir en el intento
Cómo construir un chatbot inteligente sin morir en el intentoFacultad de Informática UCM
 
Automatic generation of hardware memory architectures for HPC
Automatic generation of hardware memory architectures for HPCAutomatic generation of hardware memory architectures for HPC
Automatic generation of hardware memory architectures for HPCFacultad de Informática UCM
 
Hardware/software security contracts: Principled foundations for building sec...
Hardware/software security contracts: Principled foundations for building sec...Hardware/software security contracts: Principled foundations for building sec...
Hardware/software security contracts: Principled foundations for building sec...Facultad de Informática UCM
 
Redes neuronales y reinforcement learning. Aplicación en energía eólica.
Redes neuronales y reinforcement learning. Aplicación en energía eólica.Redes neuronales y reinforcement learning. Aplicación en energía eólica.
Redes neuronales y reinforcement learning. Aplicación en energía eólica.Facultad de Informática UCM
 
Challenges and Opportunities for AI and Data analytics in Offshore wind
Challenges and Opportunities for AI and Data analytics in Offshore windChallenges and Opportunities for AI and Data analytics in Offshore wind
Challenges and Opportunities for AI and Data analytics in Offshore windFacultad de Informática UCM
 
Evolution and Trends in Edge AI Systems and Architectures for the Internet of...
Evolution and Trends in Edge AI Systems and Architectures for the Internet of...Evolution and Trends in Edge AI Systems and Architectures for the Internet of...
Evolution and Trends in Edge AI Systems and Architectures for the Internet of...Facultad de Informática UCM
 

More from Facultad de Informática UCM (20)

¿Por qué debemos seguir trabajando en álgebra lineal?
¿Por qué debemos seguir trabajando en álgebra lineal?¿Por qué debemos seguir trabajando en álgebra lineal?
¿Por qué debemos seguir trabajando en álgebra lineal?
 
TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...
TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...
TECNOPOLÍTICA Y ACTIVISMO DE DATOS: EL MAPEO COMO FORMA DE RESILIENCIA ANTE L...
 
DRAC: Designing RISC-V-based Accelerators for next generation Computers
DRAC: Designing RISC-V-based Accelerators for next generation ComputersDRAC: Designing RISC-V-based Accelerators for next generation Computers
DRAC: Designing RISC-V-based Accelerators for next generation Computers
 
uElectronics ongoing activities at ESA
uElectronics ongoing activities at ESAuElectronics ongoing activities at ESA
uElectronics ongoing activities at ESA
 
Tendencias en el diseño de procesadores con arquitectura Arm
Tendencias en el diseño de procesadores con arquitectura ArmTendencias en el diseño de procesadores con arquitectura Arm
Tendencias en el diseño de procesadores con arquitectura Arm
 
Formalizing Mathematics in Lean
Formalizing Mathematics in LeanFormalizing Mathematics in Lean
Formalizing Mathematics in Lean
 
Introduction to Quantum Computing and Quantum Service Oriented Computing
Introduction to Quantum Computing and Quantum Service Oriented ComputingIntroduction to Quantum Computing and Quantum Service Oriented Computing
Introduction to Quantum Computing and Quantum Service Oriented Computing
 
Computer Design Concepts for Machine Learning
Computer Design Concepts for Machine LearningComputer Design Concepts for Machine Learning
Computer Design Concepts for Machine Learning
 
Inteligencia Artificial en la atención sanitaria del futuro
Inteligencia Artificial en la atención sanitaria del futuroInteligencia Artificial en la atención sanitaria del futuro
Inteligencia Artificial en la atención sanitaria del futuro
 
Design Automation Approaches for Real-Time Edge Computing for Science Applic...
Design Automation Approaches for Real-Time Edge Computing for Science Applic... Design Automation Approaches for Real-Time Edge Computing for Science Applic...
Design Automation Approaches for Real-Time Edge Computing for Science Applic...
 
Estrategias de navegación para robótica móvil de campo: caso de estudio proye...
Estrategias de navegación para robótica móvil de campo: caso de estudio proye...Estrategias de navegación para robótica móvil de campo: caso de estudio proye...
Estrategias de navegación para robótica móvil de campo: caso de estudio proye...
 
Fault-tolerance Quantum computation and Quantum Error Correction
Fault-tolerance Quantum computation and Quantum Error CorrectionFault-tolerance Quantum computation and Quantum Error Correction
Fault-tolerance Quantum computation and Quantum Error Correction
 
Cómo construir un chatbot inteligente sin morir en el intento
Cómo construir un chatbot inteligente sin morir en el intentoCómo construir un chatbot inteligente sin morir en el intento
Cómo construir un chatbot inteligente sin morir en el intento
 
Automatic generation of hardware memory architectures for HPC
Automatic generation of hardware memory architectures for HPCAutomatic generation of hardware memory architectures for HPC
Automatic generation of hardware memory architectures for HPC
 
Type and proof structures for concurrency
Type and proof structures for concurrencyType and proof structures for concurrency
Type and proof structures for concurrency
 
Hardware/software security contracts: Principled foundations for building sec...
Hardware/software security contracts: Principled foundations for building sec...Hardware/software security contracts: Principled foundations for building sec...
Hardware/software security contracts: Principled foundations for building sec...
 
Do you trust your artificial intelligence system?
Do you trust your artificial intelligence system?Do you trust your artificial intelligence system?
Do you trust your artificial intelligence system?
 
Redes neuronales y reinforcement learning. Aplicación en energía eólica.
Redes neuronales y reinforcement learning. Aplicación en energía eólica.Redes neuronales y reinforcement learning. Aplicación en energía eólica.
Redes neuronales y reinforcement learning. Aplicación en energía eólica.
 
Challenges and Opportunities for AI and Data analytics in Offshore wind
Challenges and Opportunities for AI and Data analytics in Offshore windChallenges and Opportunities for AI and Data analytics in Offshore wind
Challenges and Opportunities for AI and Data analytics in Offshore wind
 
Evolution and Trends in Edge AI Systems and Architectures for the Internet of...
Evolution and Trends in Edge AI Systems and Architectures for the Internet of...Evolution and Trends in Edge AI Systems and Architectures for the Internet of...
Evolution and Trends in Edge AI Systems and Architectures for the Internet of...
 

Recently uploaded

TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASTEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASfranzEmersonMAMANIOC
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAJAMESDIAZ55
 
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaSesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaXimenaFallaLecca1
 
PPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptx
PPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptxPPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptx
PPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptxSergioGJimenezMorean
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfMikkaelNicolae
 
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERASDOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERASPersonalJesusGranPod
 
Clase 2 Revoluciones Industriales y .pptx
Clase 2 Revoluciones Industriales y .pptxClase 2 Revoluciones Industriales y .pptx
Clase 2 Revoluciones Industriales y .pptxChristopherOlave2
 
Flujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxFlujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxEduardoSnchezHernnde5
 
Residente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdfResidente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdfevin1703e
 
Manual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfManual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfedsonzav8
 
tema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdftema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdfvictoralejandroayala2
 
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptaCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptCRISTOFERSERGIOCANAL
 
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesUNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesElianaCceresTorrico
 
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVILClase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVILProblemSolved
 
07 MECANIZADO DE CONTORNOS para torno cnc universidad catolica
07 MECANIZADO DE CONTORNOS para torno cnc universidad catolica07 MECANIZADO DE CONTORNOS para torno cnc universidad catolica
07 MECANIZADO DE CONTORNOS para torno cnc universidad catolicalf1231
 
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICAINTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICAJOSLUISCALLATAENRIQU
 
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kVEl proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kVSebastianPaez47
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfyoseka196
 
presentacion medidas de seguridad riesgo eléctrico
presentacion medidas de seguridad riesgo eléctricopresentacion medidas de seguridad riesgo eléctrico
presentacion medidas de seguridad riesgo eléctricoalexcala5
 
Comite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxComite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxClaudiaPerez86192
 

Recently uploaded (20)

TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASTEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
 
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO CersaSesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
Sesión 02 TIPOS DE VALORIZACIONES CURSO Cersa
 
PPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptx
PPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptxPPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptx
PPT SERVIDOR ESCUELA PERU EDUCA LINUX v7.pptx
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
 
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERASDOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
 
Clase 2 Revoluciones Industriales y .pptx
Clase 2 Revoluciones Industriales y .pptxClase 2 Revoluciones Industriales y .pptx
Clase 2 Revoluciones Industriales y .pptx
 
Flujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxFlujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptx
 
Residente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdfResidente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdf
 
Manual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdfManual_Identificación_Geoformas_140627.pdf
Manual_Identificación_Geoformas_140627.pdf
 
tema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdftema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdf
 
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.pptaCARGA y FUERZA UNI 19 marzo 2024-22.ppt
aCARGA y FUERZA UNI 19 marzo 2024-22.ppt
 
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotencialesUNIDAD 3 ELECTRODOS.pptx para biopotenciales
UNIDAD 3 ELECTRODOS.pptx para biopotenciales
 
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVILClase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
Clase 7 MECÁNICA DE FLUIDOS 2 INGENIERIA CIVIL
 
07 MECANIZADO DE CONTORNOS para torno cnc universidad catolica
07 MECANIZADO DE CONTORNOS para torno cnc universidad catolica07 MECANIZADO DE CONTORNOS para torno cnc universidad catolica
07 MECANIZADO DE CONTORNOS para torno cnc universidad catolica
 
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICAINTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
INTEGRALES TRIPLES CLASE TEORICA Y PRÁCTICA
 
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kVEl proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
El proyecto “ITC SE Lambayeque Norte 220 kV con seccionamiento de la LT 220 kV
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdf
 
presentacion medidas de seguridad riesgo eléctrico
presentacion medidas de seguridad riesgo eléctricopresentacion medidas de seguridad riesgo eléctrico
presentacion medidas de seguridad riesgo eléctrico
 
Comite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptxComite Operativo Ciberseguridad 012020.pptx
Comite Operativo Ciberseguridad 012020.pptx
 

Jose carlossancho slidesLa seguridad en el desarrollo de software implementada de forma preventiva

  • 1. José Carlos Sancho Núñez (jcsanchon@unex.es) Profesor Universidad de Extremadura e Investigador Cátedra Viewnext-UEx 02/12/2021 La Seguridad en el Desarrollo de Software implementada de forma Preventiva
  • 2. PRESENTACIÓN José Carlos Sancho Núñez • Ingeniero en Informática • Doctor en Tecnologías Informáticas • Profesor Universidad de Extremadura • Investigador Cátedra Viewnext-UEx • Miembro del Cuerpo Oficial de Peritos del Colegio Profesional de Ingenieros en Informática de Extremadura (Col. 103)
  • 3. 1. Introducción 2. Seguridad en el Software y Modelos Seguros 3. Modelo de Desarrollo Seguro Viewnext-UEx 4. Metodología de Implantación Modelo VN-UEx 5. Resultados de aplicar el Modelo Viewnext-UEx 6. Conclusiones, líneas futuras y publicaciones ÍNDICE
  • 4. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 4 Introducción y contexto 01 IS GBS 02 03 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 5. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 5 Motivación de la investigación Evolución de los incidentes gestionados por el CCN-CERT. Fuente: CCN-CERT. Monitorización de ataques cibernéticos en tiempo real. Fragmento tomado el 19 de febrero de 2021. Fuente: Kaspersky. 42.997 38.029 26.500 20.940 18.232 12.916 7.263 2019 2018 2017 2016 2015 2014 2013 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 6. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 6 Motivación de la investigación 1x 5x 10x 15x 30x ANÁLISIS DISEÑO CODIFICACIÓN INTEGRACIÓN ACEPTACIÓN PRODUCCIÓN Coste de resolución fallos de seguridad función de la fase del ciclo del software donde se detecta. Fuente: NIST CICLO DE VIDA DEL SOFTWARE DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN PRODUCCIÓN ANÁLISIS 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 7. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 7 Objetivos de la investigación Metodologías especializadas en software seguro Actividades de seguridad imprescindibles Nuevo marco de trabajo con prácticas de seguridad Metodología de implantación del modelo propuesto Comparar las métricas de la nueva metodología propuesta con respecto a la tradicional Transferir los resultados a la comunidad científica Diseñar e implantar un nuevo modelo de desarrollo de software seguro que mejore la seguridad y la productividad del Desarrollo. Modelo Seguro 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 8. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 8 Seguridad en el ciclo de vida del software Seguridad análisis – Requisitos de seguridad EVITAR ATAQUES AUTOMATIZADOS Captchas Doble factor autenticación Número de intentos fallidos Login ANÁLISIS DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN CORNUCOPIA SAFECODE IRIUSRISK 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
  • 9. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 9 Seguridad en el ciclo de vida del software Seguridad diseño – Patrones de diseño Principio menor privilegio Reducción de ataque Separación de privilegios “Fallo Seguro” CORNUCOPIA SAFECODE IRIUSRISK PATRONES DE DISEÑO ANÁLISIS DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
  • 10. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 10 Seguridad en el ciclo de vida del software Seguridad diseño – Modelado de amenazas Web Service Directorio Activo SQL BDD SmartPhone DMZ Intranet 1. HTTPS – Petición Datos de Pedido 6. HTTPS – Datos de Pedido 2. Petición de Autenticación 3. Confirmación Autenticado 4. Petición Datos de Pedido 5. Respuesta Datos de Pedido Internet CORNUCOPIA SAFECODE IRIUSRISK PATRONES DE DISEÑO MODELADO S T R I D E ANÁLISIS DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
  • 11. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 11 Seguridad en el ciclo de vida del software Seguridad diseño – Otras técnicas Casos de abuso Árboles de ataque CORNUCOPIA SAFECODE IRIUSRISK PATRONES DE DISEÑO MODELADO CASOS DE ABUSO ÁRBOLES ATAQUE ANÁLISIS DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN Prueba de acceso Ataque diccionario HACKER Formato contraseña Cuenta de usuario Ataque por fuerza bruta Automatizar ataque Listado de usuarios Listado de contraseñas Diccionario 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
  • 12. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 12 Seguridad en el ciclo de vida del software Seguridad en la codificación Buenas prácticas de codificación Revisión de código manual Revisión de código automática CORNUCOPIA SAFECODE IRIUSRISK PATRONES DE DISEÑO MODELADO CASOS DE ABUSO ÁRBOLES ATAQUE BUENAS PRÁCTICAS REVISIÓN MANUAL REVISIÓN AUTOMÁTICA ANÁLISIS DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
  • 13. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 13 Seguridad en el ciclo de vida del software Seguridad en las pruebas Test de penetración Fuzz testing CORNUCOPIA SAFECODE IRIUSRISK PATRONES DE DISEÑO MODELADO CASOS DE ABUSO ÁRBOLES ATAQUE BUENAS PRÁCTICAS REVISIÓN MANUAL REVISIÓN AUTOMÁTICA TEST DE PENETRACIÓN FUZZ TESTING ANÁLISIS DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
  • 14. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 14 Seguridad en el ciclo de vida del software Seguridad en la implantación CORNUCOPIA SAFECODE IRIUSRISK PATRONES DE DISEÑO MODELADO CASOS DE ABUSO ÁRBOLES ATAQUE BUENAS PRÁCTICAS REVISIÓN MANUAL REVISIÓN AUTOMÁTICA TEST DE PENETRACIÓN FUZZ TESTING PLAN DE CONTINGENCIAS Proceso de implantación y configuración Plan de contingencias ANÁLISIS DISEÑO CODIFICACIÓN PRUEBAS IMPLANTACIÓN 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
  • 15. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 15 Modelos de Desarrollo Seguro ANÁLISIS DE METODOLOGÍAS DE DESARROLLO SEGURO Casos de abuso Guía y estándares de desarrollo seguro Diagrama de clases de seguridad Cumplimiento y política Revisión de funciones complejas Identificar roles de usuario y capacidades de recursos Usar herramientas aprobadas Análisis de las arquitecturas Securización del entorno Entorno del software Identificar recursos y límites de confianza Configuración de seguridad en BD TSP- SECURE ASDL/SDL MICROSOFT SAMM CLASP OSSA BSIMM Formación Evaluación y métricas Definición de riesgos Requisitos de seguridad Modelado de amenazas Revisión diseño Revisión código Testing de seguridad Validación de salidas Plan de respuesta a incidentes • Microsoft SDL • Agile-SDL • Oracle Software Security Assurance • Comprehensive Lightweight Application Security Process • Team Software Process Secure • Software Assurance Maturity Model • Building Security In Maturity Model Framework 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO
  • 16. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 16 Modelo de Desarrollo Seguro Viewnext-UEx Preventivo Integrado Flexible Retroalimentado Reutilizable 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
  • 17. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 17 Puntos fuertes Herramienta entrenamiento seguro Trazabilidad durante todo el ciclo REQUISITO DE SEGURIDAD AMENAZAS RIESGOS BUENAS PRÁCTICAS < > ” ’ % ( ) & + / @ # ¡!¿? 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
  • 18. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 18 Actividades novedosas del Modelo Viewnext-UEx 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
  • 19. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 19 Modelo Viewnext-UEx VS otros Fase/Modelo Microsoft SDL/ASDL OSSA CLASP TSP-Secure SAMM BSIMM Viewnext-UEx Políticas Formación Análisis Diseño Implementación Pruebas Pre-Release Post-Release Métricas Uso empresarial 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX
  • 20. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 20 Características de un proyecto de software DISEÑO TÉCNICO ANÁLISIS FUNCIONAL PROYECTO TIPOLOGÍA METODOLOGÍA FASE COMIENZO ÁGIL TRADICIONAL MANTENIMIENTO NUEVO DESARROLLO 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
  • 21. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 21 Metodología de implantación Integración actividades del Modelo Viewnext-UEX Retrospectiva y mejora Evaluación de seguridad 2 3 4 Formación y preparación de ecosistema seguro 1 FORMACIÓN EN PATRONES DE DÍSEÑO SEGURO (10H) FORMACIÓN EN CODIFICACIÓN SEGURA (20 H) VALIDACIÓN DE REQUISITOS MODELADO DE AMENAZAS REVISIÓN DE DISEÑO REVISIÓN DE CODIFICACIÓN TESTING DE SEGURIDAD VALIDACIÓN DE SALIDAS FORMACIÓN EN ANÁLISIS DE SEGURIDAD (10H) 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
  • 22. 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES LA SEGURIDAD EN EL DESARROLLO DE SOFTWARE IMPLEMENTADA DE FORMA PREVENTIVA JOSÉ CARLOS SANCHO NÚÑEZ 22 Indicadores: seguridad y productividad VULNERABILIDAD CRITICIDAD CATEGORÍA Val. entradas Gestión sesiones Control de Acceso Autorización Errores Arquitectura Configuración Protección datos Etc. Informativa [0] Baja [0.1-3.9] Media [4.0-6.9] Alta [7.0-8.9] Crítica [9.0-10] Arquitectura Desarrollo SEGURIDAD PRODUCTIVIDAD FASE UNIDAD Gestión Análisis y diseño Codificación Pruebas Evaluación Resolución de fallos Desarrollo total Horas 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX
  • 23. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 23 Aplicación experimental: empresa y proyecto Nuevos Desarrollos Compañía eléctrica Tamaño del Equipo +/- 15 desarrolladores Equipo multifuncional Metodología Ágil Cliente proactivo Caso de estudio Criticidad crítica Incluido el análisis Salvo el testing de seguridad SCRUM – sprint mensual Interesado en mejorar Características del proyecto MÓDULO 1 MÓDULO 2 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 24. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 24 Aplicación experimental: escenarios Gestión Análisis y diseño Codificación Pruebas Evaluación de seguridad Resolución de fallos Desarrollo del software 1 2 3 Gestión Análisis y diseño Codificación Pruebas Evaluación de seguridad Resolución de fallos Desarrollo del software con modelo Viewnext-UEx 1 2 3 Implantación modelo Viewnext-UEx 0 Formación Ecosistema PREVENTIVO REACTIVO 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 25. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 25 Métricas de productividad 1- Desarrollo del software 2- Auditoría 3- Corrección de fallos Evaluación Gestión Análisis y diseño Codificación Pruebas Resolución de fallos de seguridad % tiempo empleado SOLO EN EL PREVENTIVO 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 26. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 26 Escenario reactivo: resultados seguridad 19 VULNERABILIDADES 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 27. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 27 Escenario reactivo: resultados productividad 1- Desarrollo del software 2- Auditoría de seguridad 3- Resolución de vulnerabilidades Evaluación Gestión Análisis y diseño Codificación Pruebas Resolución de fallos de seguridad 4,4 % 22,2% 53,3 % 8,9 % 2,7 % 8,5 % % tiempo empleado 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 28. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 28 Escenario preventivo: resultados seguridad 6 VULNERABILIDADES 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 29. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 29 Escenario preventivo: resultados productividad 1- Desarrollo del software 2- Auditoría de seguridad 3- Resolución de vulnerabilidades Evaluación Gestión Análisis y diseño Codificación Pruebas Resolución de fallos de seguridad 6,3 % 30,6 % 50,9% 7,8 % 3,1 1,3 % tiempo empleado 0,13 % 3,5 % 2,6 % 1 % 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 30. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 30 Comparativa de vulnerabilidades TIPO VULNERABILIDAD CRITICIDAD CATEGORÍA REACTIVO PREVENTIVO Validación de entradas Stored Cross Site Scripting Crítica [9-10] Desarrollo X Reflected Cross Site Scripting Alta [7-8.9] Desarrollo X Base de datos accesible Baja [0.1-3.9] Desarrollo X X Atributo autocomplete no inhabilitado Baja [0.1-3.9] Desarrollo X Cambio de peticiones POST por GET Alta [7-8.9] Arquitectura X Directiva POST con parámetros no validados Alta [7-8.9] Desarrollo X Autorización Escalada de privilegios funcional Alta [7-8.9] Desarrollo X Escalada de privilegios por URL Alta [7-8.9] Desarrollo X Gestión de sesiones Identificador de sesión desprotegido Alta [7-8.9] Arquitectura X Cierre de sesión no implementado correctamente Media [4.0-6.9] Arquitectura X 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 31. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 31 Comparativa de vulnerabilidades TIPO VULNERABILIDAD CRITICIDAD CATEGORÍA REACTIVO PREVENTIVO Manipulación de errores y logs Información sensible del aplicativo y uso de componentes vulnerables Media [4.0-6.9] Arquitectura X Información sensible en los metadatos Baja [0.1-3.9] Arquitectura X Información sensible en el código fuente Media [4.0-6.9] Arquitectura X Gestión de la configuración Página del servidor por defecto Baja [0.1-3.9] Arquitectura X Aplicativo en HTTP en lugar de HTTPS Alta [7-8.9] Arquitectura X Phising a través marcos Alta [7-8.9] Arquitectura X Inyección de enlaces Alta [7-8.9] Arquitectura X Certificados SSL débiles Alta [7-8.9] Arquitectura X Servicios y puertos habilitados indebidamente Alta [7-8.9] Arquitectura X Respuesta de TCP timestamp Baja [0.1-3.9] Arquitectura X X 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 32. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 32 Comparativa de resultados: seguridad Críticas Altas Medias Bajas Reactivo 1 9 3 6 Preventivo 0 3 1 2 0 1 2 3 4 5 6 7 8 9 10 Número de vulnerabilidades PREVENTIVO REACTIVO VULNERABILIDADES 19 6 68% 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 33. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 33 Comparativa de resultados: productividad Gestión Análisis y diseño Codificación Pruebas Evaluación Corrección de vulnerabilidades Reactivo 4,4 22,2 53,3 8,9 2,7 8,5 Preventivo 6,3 30,6 50,9 7,8 3,1 1,3 0 10 20 30 40 50 60 % tiempo empleado 1- Desarrollo del software 2- Auditoría de seguridad 3- Resolución de vulnerabilidades 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 34. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 34 Conclusiones I La aplicación del modelo Viewnext-UEx con enfoque preventivo: Ø Reduce drásticamente la aparición de vulnerabilidades. Ø Reduce la criticidad de las vulnerabilidades identificadas. Ø Minimiza el tiempo de la resolución de los fallos de seguridad. La aplicación de metodologías reactivas: Ø Genera un mayor número de vulnerabilidades. Ø Las vulnerabilidades que se identifican tienen criticidades altas. Ø Producen un alto impacto en la resolución de los fallos de seguridad. 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 35. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 35 Conclusiones I El modelo Viewnext-UEx que se propone: Ø Incorpora prácticas de seguridad de manera sistemática y planificada. Ø Se ha implantado en proyectos de software reales. Ø Conduce a una mejora en los aspectos de seguridad y optimización en los tiempos de desarrollo del ciclo de vida del software. Ø Puede ser implantado por cualquier empresa del sector. 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 36. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 36 Líneas futuras Implantar el modelo en un número considerable de proyectos Adaptar el modelo Viewnext-UEx al enfoque SecDevOps DEV OPS SEC LIBERACIÓN DE SOFTWARE ACTUALIZACIONES FIABLIDAD RENDIMIENTO ESCALABILIDAD CONFIDENCIALIDAD DISPONIBILIDAD INTEGRIDAD SEC DEV OPS PHP C++ JAVA HTML 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 37. IMPLEMENTACIÓN DE UN MODELO DE DESARROLLO DE SOFTWARE SEGURO JOSÉ CARLOS SANCHO NÚÑEZ 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 37 Publicaciones muy relevantes José Carlos Sancho Núñez, Andrés Caro Lindo and Pablo García Rodríguez. A Preventive Secure Software Development Model for a software factory: a case study. IEEE Access. 8 (1):77653–77665.April 2020. DOI: 10.1109/access.2020.2989113. (Impact Factor = 3.745 - Q1 ) José Carlos Sancho Núñez, Andrés Caro Lindo, Mar Ávila Vegas and Alberto Bravo Gómez. New approach for threat classification and security risk estimations based on security event management. Future Generation Computer Systems. 113:488–505. December 2020. DOI: 10.1016/j.future.2020.07.015. (Impact Factor = 6.125 - Q1 ) 2- SEGURIDAD EN EL SOFTWARE Y MODELOS DE DESARROLLO SEGURO 3- MODELO DE DESARROLLO SEGURO VIEWNEXT-UEX 4- METODOLOGÍA DE IMPLANTACIÓN DEL MODELO VIEWNEXT-UEX 5- RESULTADOS DE APLICAR EL MODELO VIEWNEXT-UEX 6- CONCLUSIONES, LÍNEAS FUTURAS Y PUBLICACIONES 1- INTRODUCCIÓN, PLANTEAMIENTO DEL PROBLEMA Y OBJETIVOS
  • 38. José Carlos Sancho Núñez (jcsanchon@unex.es) Profesor Universidad de Extremadura e Investigador Cátedra Viewnext-UEx 02/12/2021 La Seguridad en el Desarrollo de Software implementada de forma Preventiva