CONSTRUYENDO APLICACIONES CONFORMES AL ENS
Transcript of CONSTRUYENDO APLICACIONES CONFORMES AL ENS
![Page 1: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/1.jpg)
www.ccn-cert.cni.es
CONSTRUYENDO APLICACIONES CONFORMES AL ENS
![Page 2: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/2.jpg)
www.ccn-cert.cni.es 2
Carmen Serrano Durbá
GENERALITAT VALENCIANA
![Page 3: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/3.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es
Índice
3
1. Introducción. La seguridad en el desarrollo de aplicaciones
2. Necesidad de cambio
3. Proyecto: gvLogos SEG
4. Conclusiones: Debilidades y Fortalezas
![Page 4: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/4.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
La seguridad en el desarrollo de aplicaciones
• DGTIC: 900 aplicaciones, 6 servicios de desarrollo, 160 técnicos
• Contratación servicios externos desarrollo
• Adecuación al ENS de los sistemas existentes
• TRANSFORMACION DIGITAL (Ley 39/2015)
• Otras obligaciones de cumplimiento: LOPD, SGSI, ISO 27001,…
Volumen de desarrollo de aplicaciones
4
c ¿Cómo cumplimos el ENS en todo lo nuevo?
![Page 5: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/5.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
La seguridad en el desarrollo de aplicaciones
• Aplicaciones web o móviles, uso externo o compartido (democratizamos el acceso a al información). Cuidadanos, colaboradores, otras administraciones,…
• Aplicaciones dirigidas a los ciudadanos
• Aplicaciones desarrolladas para uso interno que se “abren”
Aplicaciones cada vez más expuestas:
5
c Cada vez más preocupados por la seguridad
![Page 6: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/6.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
La seguridad en el desarrollo de aplicaciones
• Los analistas y programadores priorizan la funcionalidad y rapidez de desarrollo
• La mayoría de los proyectos no incluyen seguridad, o bien la incluyen al final
• El coste de solucionar la vulnerabilidades es mayor cuanto más tarde se detecten las mismas
• La adecuación al cumplimiento de las normativas y marcos regulatorios al final del proyecto causa retrasos en la implantación o incumplimiento.
Problema:
6
![Page 7: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/7.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Necesidad de cambio
RESPONSABLES FUNCIONALES:
• Necesidad de seguridad
• Conocedores de los Riesgos
• Conscientes obligaciones legales
Cambio de Cultura:
7
c FORMACIÓN Y CONCIENCIACIÓN
DESARROLLO:
• Pensar en la seguridad desde el inicio del proyecto
• Ser responsables de implementar la seguridad
![Page 8: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/8.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Necesidad de cambio
Cambio en la forma de trabajar:
8
Metodología
Herra-mientas
Compo-nentes
seguros Aplicación Segura y Conforme a Normativa
Control y Verificación
7
Seguridad
REQUISITOS
LOPD
ENS Req. Funcional
es
ISO 27001
![Page 9: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/9.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
Gestión Integral de la Seguridad en el Desarrollo de Proyectos TIC
Proceso transversal al desarrollo de proyectos TIC en el que se incorporan las funciones y mecanismos que refuerzan la seguridad del nuevo sistema y del propio proceso de desarrollo, garantizando la seguridad en el Ciclo de Vida del proyecto y el cumplimiento de la normativa vigente en materia de seguridad (LOPD y ENS).
9
gvLOGOS-SEG
![Page 10: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/10.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
Aplicando seguridad en todos los proyectos
10
gvLogos-SEG
Identificación temprana de las necesidades de
seguridad
Integración de l tratamiento de la seguridad en
el CVDS
METODOLOGÍA
Soluciones y componentes de
seguridad
Control y verificación de
seguridad
Desarrollo de software seguro
Proceso de desarrollo
![Page 11: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/11.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
I. Identificación temprana de las necesidades de seguridad
II. Integración del tratamiento de la seguridad en el CVDS: METODOLOGÍA
III. Soluciones y componentes de seguridad
IV. Control y verificación
V. Desarrollo de Software Seguro
11
Proceso de desarrollo
![Page 12: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/12.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
Categorización según las normas a aplicar: LOPD, ENS, ISO27001
• Niveles de LOPD(Alto, Medio, Bajo)
• Valoración 5 dimensiones de seguridad ENS
I. Identificación temprana de las necesidades de seguridad
12
Valoración Seguridad
Seguridad en Ciclo de Vida
Desarrollo
Medidas y controles de
seguridad
Solución Técnica
Verificación y Auditoría
Planificación proyecto
Auditorías
Continuidad de Negocio
Planes recuperación
Categorización Incidentes
Catálogo de activos CATI
Solicitud Aplicación
![Page 13: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/13.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
I. Identificación temprana de las necesidades de seguridad
13
![Page 14: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/14.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
14
![Page 15: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/15.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
15
Alcance
Tiempo Presupuesto
Cobertura técnica, temporal y presupuestaria para implantación medidas de seguridad.
Los responsables de planificación deben tener en cuenta la seguridad en todas las fases del ciclo de desarrollo de un proyecto
I. Identificación temprana de las necesidades de seguridad Proyecto: gvLogos SEG
![Page 16: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/16.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
I. Identificación temprana de las necesidades de seguridad
16
![Page 17: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/17.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
I. Identificación temprana de las necesidades de seguridad
17
![Page 18: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/18.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
I. Identificación temprana de las necesidades de seguridad
II. Integración del tratamiento de la seguridad en el CVDS: METODOLOGÍA
III. Soluciones y componentes de seguridad
IV. Control y verificación
V. Desarrollo de Software Seguro
18
Proceso de desarrollo
![Page 19: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/19.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
19
II. METODOLOGÍA
![Page 20: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/20.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
1. Definir las tareas de Seguridad e integrarlas en la metodología en cada fase del Ciclo de Vida
• Sincronizarlas con hitos, y documentos de la metodología GVLogos
2. Incluir los ROLES de SEGURIDAD y sus funciones
3. Definir los Controles de Seguridad y su distribución en el CV. Analizar los controles de todas las normativas a tener en cuenta (ENS, LOPD, ISO27001,…)
4. Definir herramientas de apoyo
5. Documentar la metodología
6. Control y seguimiento
7. Formación
II. METODOLOGÍA
20
![Page 21: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/21.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
FASE CICLO VIDA APLICABLE LOPD/ENS
TIPO DE PRODUCTO NOMBRE DEL CONTROL ROLES RACI
SISTEMA QUE LO IMPLEMENTA
![Page 22: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/22.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Fase de propuesta
22
REQUISITOS NO FUNCIONALES: SEGURIDAD VALORACIÓN DEL SISTEMA
Proyecto: gvLogos SEG
![Page 23: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/23.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
En todas las fases del CVDS
23
ACEPTACIÓN
• Análisis de riesgos: inspección contra-medidas • Comprobación requisitos seguridad • Inspección de código (fugas, backdoors,
escalado privilegios) • Pruebas funcionales y de seguridad (Simulación
de ataques, hacking ético) • Pruebas de carga
DESPLIEGUE
• Requerimientos de operación • Gestión de cambios • Establecimiento de claves • Formación inicial • Usuarios • Despliegue seguro: GEDES
OPERACIÓN
• Análisis de riesgos: estado riesgo sistema • Estudio de nuevas amenazas/vulnerabilidades • Análisis de los incidentes ocurridos • Posibles atacantes (revisión) • Aumentar la protección- mantenimiento
MANTENIMIENTO
• Iniciar nuevo ciclo de gestión de riesgos TERMINACIÓN
• Análisis de riesgos del material retenido: Salvaguardas
• Destrucción segura de la información • Copia y Custodia
II. METODOLOGÍA
![Page 24: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/24.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
I. Identificación temprana de las necesidades de seguridad
II. Integración del tratamiento de la seguridad en el CVDS: METODOLOGÍA
III. Soluciones y componentes de seguridad
IV. Control y verificación
V. Desarrollo de Software Seguro
24
Proceso de desarrollo
![Page 25: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/25.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
III. Soluciones y Componentes de seguridad
25
![Page 26: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/26.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
I. Identificación temprana de las necesidades de seguridad
II. Integración del tratamiento de la seguridad en el CVDS: METODOLOGÍA
III. Soluciones y componentes de seguridad
IV. Control y verificación
V. Desarrollo de Software Seguro
26
Proceso de desarrollo
![Page 27: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/27.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
• Auditoría ligada al desarrollo. Embebida en el proceso de desarrollo de software, en el paso de cada una de las fases
• Análisis de Código
• Implantación de medidas de seguridad
• Verificaciones de seguridad previas a la entrada en servicio
• Análisis de Vulnerabilidades
• Pruebas de Penetración
• Auditoría periódica de la plataforma. Al finalizar la implantación en producción, de forma periódica para detectar las vulnerabilidades publicadas, errores en el proceso de mantenimiento de la aplicación, etc.
IV. Control y Verificación
27
![Page 28: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/28.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
I. Identificación temprana de las necesidades de seguridad
II. Integración del tratamiento de la seguridad en el CVDS: METODOLOGÍA
III. Soluciones y componentes de seguridad
IV. Control y verificación
V. Desarrollo de Software Seguro
28
Proceso de desarrollo
![Page 29: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/29.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Proyecto: gvLogos SEG
• Seguridad en aplicaciones Web y Móvil: recomendaciones en base a las capas de una aplicación Web y a los niveles de complejidad.
• Seguridad en la lógica de negocio: recomendaciones de seguridad que se aplican a las bases de datos y servidores de aplicaciones.
• Seguridad en las aplicaciones desarrolladas en las distintas tecnologías (Developer, Java, .NET, PHP, etc.)
V. Desarrollo seguro
29
CCN STIC Formación
![Page 30: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/30.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Conclusiones
• Falta de medios humanos y económicos
• Cambio cultural de RF > RNF a RF = RNF
• Se prioriza la creación de funcionalidades, el rendimiento, frente a la seguridad o la calidad
• Resistencia al cambio de la forma de trabajar
• Desconocimiento técnico
• Pensar que es imposible conseguirlo
• Necesidad de coordinación entre servicios y funciones e implicación de diferentes servicios
DIFICULTADES
30
![Page 31: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/31.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Conclusiones
• Necesidad real de disponer de una metodología
• Complejidad de proyectos
• Volumen de proyectos
• Reorganización de las funciones
• Implicación del Servicio de Calidad
• Consciencia de la necesidad de la seguridad creciente
• Nuevo contrato CSIRT-CV
FORTALEZAS
31
![Page 32: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/32.jpg)
www.ccn-cert.cni.es
X JORNADAS STIC CCN-CERT
Conclusiones
• La identificación temprana de las necesidades de seguridad y la integración de la seguridad a lo largo de todas las etapas del ciclo de vida ahorra tiempo y dinero y sobretodo Facilita la incorporación de la seguridad en las aplicaciones.
• Integrando la seguridad en la metodología garantizamos que la seguridad es tenida en cuenta en todo el proyecto, por todos los equipos de desarrollo (internos y externos) y el cumplimiento de la normativa: (ENS, LOPD, ISO27001)
Siguiendo todo el proceso obtenemos APLICACIONES SEGURAS Y CONFORMES
FINAL
32
![Page 33: CONSTRUYENDO APLICACIONES CONFORMES AL ENS](https://reader035.fdocumento.com/reader035/viewer/2022072310/62dae7738616730b9c1c8005/html5/thumbnails/33.jpg)
E-Mails
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es
Síguenos en
www.ccn-cert.cni.es